|
Escutar o texto
 |
A Lei Geral de Proteção de Dados trouxe para nós a figura da Autoridade Nacional de Proteção de Dados (ANPD), dos agentes de tratamento e do encarregado, mas quem são essas figuras?
Autoridade Nacional de Proteção de Dados:
Segundo a Lei nº 13.709/2018 (LGPD), em seu capítulo IX, Seção I, a ANPD é um órgão da administração pública federal, composta por conselho diretor, conselho nacional de proteção de dados pessoais e da privacidade, corregedoria, ouvidoria, assessoramento jurídico próprio e unidades administrativas e especializadas
À ANPD compete diversas atividades, dentre elas:
I – Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
II – Fiscalizar e aplicar sanções em caso de tratamento em desconformidade, mediante processo administrativo que assegure o contraditório e a ampla defesa;
III – Promover o conhecimento e elaborar estudos sobre a proteção de dados;
IV – Promover ações de cooperação com autoridades de outros países;
V – Dispor sobre as formas de publicidade das operações de tratamento; entre tantas outras atividades.
Porém, a que mais importa e que será tratada hoje é a competência para editar regulamentos e procedimentos sobre a proteção de dados pessoais e privacidade, bem como editar normas, orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte ou empresas de inovação (art. 55-J, XIII e XVIII).
Assim, desde que a ANPD foi criada, ela vem lançando diversos guias orientativos para a população, a fim de desmistificar e elucidar as dúvidas que a nova lei causou.
Publicações da ANPD:
A ANPD teve seu regimento interno estabelecido em 08 de março de 2021, por meio da Portaria nº 1 e, até então, conta com 9 publicações, mais duas portarias e duas resoluções.
Dentre as publicações, a ANPD elaborou diversos guias orientativos, tais quais:
- “Tratamento de Dados Pessoais pelo Poder Público”
- “Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral”
- “Segurança da Informação para Agentes de Tratamento de Pequeno Porte”
- “Como proteger seus dados pessoais”
- “Meus dados vazaram. E agora? ”
- “Vazamento de Dados”
- “Proteção de Dados” e
- “Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, que já está na sua segunda versão.
Este último é o objeto da vez, visto que há grande confusão entre as figuras de agentes de tratamento e encarregado.
Definição de Agentes de Tratamento de Dados Pessoais e Encarregado:
A ANPD fez a primeira versão deste guia orientativo em maio de 2021 e com a resolução nº 2 de 2022 que trata sobre os agentes de tratamento de pequeno porte, onde trouxe algumas alterações, foi lançada a segunda versão, de abril de 2022.
Neste guia, a Autoridade Nacional de Proteção de Dados pega as definições trazidas pela lei no artigo 5º e além de explicar, traz exemplos práticos para facilitar o entendimento.
Agentes de tratamento:
Assim, segundo a lei e diretrizes da ANPD, os agentes de tratamento são os Controladores e Operadores de dados.
Tais figuras estão previstas no artigo 5º da lei, onde trata das definições legais, e são definidas como pessoas naturais ou jurídicas, de direito público ou privado.
O controlador atua de acordo com interesses próprios, tem poder de decisão sobre a finalidade e elementos essenciais, tais como quais dados serão coletados, por quanto tempo serão mantidos, quem terá acesso, por qual motivo e qual a base legal do tratamento, entre outros.
Por sua vez, o operador atua de acordo com os interesses do controlador e a seu mando. O operador não tem poder de decisão quanto aos elementos essenciais, mas decide elementos não essenciais para o cumprimento da atividade, tal qual a escolha de softwares a serem utilizados e as medidas de segurança tomadas.
O controlador e o operador tratam-se de personalidades distintas! Ou seja, o operador não é subordinado do controlador.
Além disso, os subordinados do controlador ou do operador não são agentes de tratamento, visto que atuam sobre o poder diretivo do agente.
Ambos os agentes possuem obrigações específicas.
Enquanto o controlador de dados tem a obrigação específica de elaborar o Relatório de Impacto à Proteção de Dados (RIPD), comprovar a correta coleta do consentimento, comunicar a ANPD os incidentes ocorridos e – em regra – exercer os direitos dos titulares, o operador possui a obrigação específica de seguir as instruções do controlador, firmar contrato com o mesmo estipulando sua atividade e suas responsabilidades, bem como dar ciência em caso de contratação de suboperador.
O guia orientativo ainda traz as figuras de controladoria conjunta e suboperador, que não são obrigatórios, mas podem estar presentes.
Percebe-se a presença de controladoria conjunta quando mais de um controlador possui o poder de decisão sobre o tratamento de dados pessoais, quando há o interesse mútuo de dois ou mais controladores, com base em finalidades próprias sobre o mesmo tratamento e quando dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidade e elementos essenciais do tratamento.
Já o suboperador, embora não haja conceito na lei, é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. Ou seja, a relação direta é com o operador, não com o controlador. Porém, recomenda-se que o operador tenha autorização do controlador para tal contratação.
A lei dispõe que os Agentes de Tratamento, ou seja, o controlador e operador, possuem responsabilidades, porém, a lei não estipulou se a responsabilidade é objetiva ou subjetiva, nem a ANPD trouxe, ainda, informações a respeito.
O que se sabe é que o controlador ou o operador que, em razão do exercício da atividade de tratamento de dados pessoais, causar dano a outrem, seja patrimonial, moral, individual ou coletivo, é obrigado a repará-lo.
Desta forma, ambos os agentes respondem em caso de dano, na esfera de suas atuações. A responsabilidade torna-se solidária se o operador descumprir a lei ou não seguir as instruções do controlador, ou em caso de incidente de segurança. Isso porque, uma vez que o operador não segue as instruções do controlador e determina, por si, o que acontece com tais dados, aquele iguala-se a este.
Encarregado de proteção de dados:
O Encarregado também possui sua definição no artigo 5º da lei e é a pessoa indicada para atuar como canal de comunicação entre o controlador, o titular de dados e a ANPD.
O guia orientativo em sua primeira versão não era tão claro quanto quem poderia atuar como encarregado, porém, a segunda versão lançada em abril de 2022 esclareceu a questão estipulando que o encarregado pode ser pessoa física ou jurídica, funcionário da organização ou terceirizado.
É o encarregado o responsável por disseminar a cultura da proteção de dados na organização, orientando os colaboradores e parceiros contratados acerca das boas práticas a serem tomadas.
A resolução nº 2 de 2022 e a segunda versão do guia atualizaram também a questão de que para agentes de tratamento de pequeno porte a nomeação de um encarregado é dispensada. Lembrando que agentes de tratamento de pequeno porte não é o mesmo que microempresas e empresas de pequeno porte! Há um guia orientativo específico para quem são essas figuras.
Desta forma, cabe ao encarregado de proteção de dados aceitar as reclamações dos titulares, os comunicados da Autoridade Nacional, bem como prestar os esclarecimentos. Além disso, orientar os funcionários e contratados a respeito das boas práticas e executar as demais atribuições sugeridas pelo controlador ou determinadas por normas e regulamentos posteriores.
Ainda, o encarregado não precisa ter uma formação específica em direito ou tecnologia, embora seja o preferível. As qualificações profissionais do encarregado serão definidas e avaliadas mediante um juízo de valor realizado pelo controlador que o indica, considerando que tenha conhecimento suficiente para atender às necessidades das operações.
Sugere-se, desta forma, que a organização tenha uma equipe de proteção de dados, comumente chamada de Comitê Gestor, onde possui diversas áreas da organização que atuam em conjunto para solucionar as demandas, como jurídico, TI, Recursos Humanos, Financeiro, Infraestrutura, entre outras áreas.
Como o encarregado de proteção de dados é o ponto de contato entre o controlador, os titulares e a ANPD, é necessário que seus dados (nome e forma de contato) estejam divulgados e disponíveis de forma clara e objetiva nos sites e documentos da organização.
Quanto à responsabilidade, a figura do encarregado de proteção de dados não tem previsão na LGPD. Desta forma, a responsabilidade do encarregado fica sujeita à responsabilidade comum do Código Civil.
Diferente, portanto, dos agentes de tratamento, pois não trata (insira aqui qualquer verbo: acesso, coleta, alteração, retificação, exclusão, etc.) os dados pessoais, e diferente, também, da figura do DPO (Data Protection Officer) previsto na GDPR (General Data Protection Regulation), que possui responsabilidade pessoal.
