No dia 28/05/21, a ANPD publicou documento denominado Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado (“Guia”), com diretrizes não vinculantes sobre essas figuras.[1] Apresentamos abaixo os principais pontos do Guia.
Vale mencionar que a ANPD indica que que está aberta a receber recomendações de melhoria do Guia, as quais devem ser encaminhadas ao e-mail normatizacao@anpd.gov.br
-
Agentes de Tratamento
A LGPD define que um agente de tratamento é um controlador ou operador de dados pessoais. Nesse sentido, o Guia esclarece que a qualificação de um agente como um ou outro deve se dar com base na finalidade de tratamento específica em análise. Ou seja, a definição de controlador e operador é relativa, sendo que uma organização pode assumir tanto um papel de controlador como de operador para diferentes atividades de tratamento.
-
Controlador
O Guia complementa a definição da LGPD ao esclarecer que o controlador é o agente que define a finalidade e toma as principais decisões referentes ao tratamento de dados pessoais. Apesar de o Guia reconhecer que o papel de controlador pode ser previsto em contrato, é ressaltado que deve ser sempre considerado “o contexto fático e as circunstâncias relevantes do caso”. Ou seja, seguindo o entendimento já adotado pelas autoridades europeias, a ANPD entende que a qualificação do agente leva em conta principalmente as circunstâncias fáticas do tratamento.
-
Controladoria Conjunta
Um dos temas ausentes do texto da LGPD, e que foi esclarecido no Guia, refere-se às situações em que dois ou mais controladores decidem em conjunto as finalidades de tratamento. Apesar de a definição de controlador conjunto não estar expressa no texto da LGPD, ainda assim entende a ANPD que tal conceito é extraído da própria definição de controlador. Assim, são controladores conjuntos os agentes que: (i) tomam decisões comuns ou convergentes sobre as finalidades e os elementos essenciais do tratamento, (ii) tiverem interesse mútuo sobre o tratamento, e (iii) possuírem poder de decisão conjunto sobre o tratamento.
-
Controlador Singular
Em contraposição à controladoria conjunta, o Guia esclarece que haverá controladoria singular se as finalidades de tratamento não forem comuns, convergentes ou complementares.
-
Operador
De forma semelhante, o Guia também complementa a definição legal de operador que, além de agir em nome de um controlador e sob suas instruções, é o agente que age “no limite das finalidades determinadas pelo controlador”. Nesse sentido, a ANPD entende como boa prática o estabelecimento de contrato entre controlador e operador. Além disso, o Guia afirma ser obrigação do operador informar o controlador quando da utilização de suboperadores – e, na medida do possível, obter a sua autorização.
-
Suboperador
O suboperador é aquele contratado pelo operador para auxiliá-lo no tratamento de dados pessoais em nome do controlador. Apesar de a figura do suboperador também não estar diretamente prevista na LGPD, a ANDP entende que o suboperador pode se equiparar a um operador contratado por outro operador.
-
Encarregado
O Guia esclarece que o Encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Em relação à verificação da necessidade de indicar um Encarregado, a ANPD entende que “deve-se assumir, como regra geral, que toda organização deverá indicar” um Encarregado enquanto não forem regulamentadas as hipóteses de dispensa.
-
Indivíduos Subordinados
Um ponto que vinha causando confusão se referia ao status de subordinados, como no caso de empregados ou servidores públicos, em relação aos conceitos de controlador e operador. O Guia esclarece que um indivíduo subordinado não se qualifica como agente de tratamento de dados, pois somente atua sob o poder diretivo do agente de tratamento.
