Notícias e Publicações

Autoridade Nacional de Proteção de Dados publica Guia Orientativo para os Agentes de Tratamento de Dados Pessoais e Encarregado

A Agência Nacional de Proteção de Dados - ANPD publicou na última sexta-feira, 28 de maio de 2021, o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado (“Guia”), estabelecendo diretrizes não-vinculativas aos agentes de tratamento, esclarecendo as funções de controlador, operador e encarregado, bem como definições legais e regimes de responsabilidade.

De maneira geral, a ANPD acertadamente baseou diversas de suas instruções em diretrizes já estabelecidas pela European Data Protection Board, o que não nenhuma representa nenhuma novidade, já que a nossa lei muito se espelhou no GDPR.

Não obstante o conceito distintivo entre controlador e operador já estabelecido pela Lei Geral de Proteção de Dados (“LGPD”), qual seja, o de poder decisório do primeiro agente, o Guia elucida a desnecessidade de que todas as decisões sejam tomadas pelo controlador, bastando apenas que ele mantenha sob sua influência e controle as principais decisões, ou seja, aquelas relativas aos elementos essenciais para o cumprimento da finalidade do tratamento.

O Guia também dispõe sobre o conceito de controladoria conjunta de dados pessoais, que não veio abertamente definida na LGPD. Inspirando-se no GDPR, haverá controladoria conjunta quando, em decisões comuns, duas ou mais entidades possuírem uma intenção comum, convergente ou complementar sobre as finalidades e os meios de tratamento, e tomarem decisões em conjunto. Nesse sentido, ainda que o mesmo conjunto de dados seja tratado, não haverá controladoria conjunta se os objetivos do tratamento forem distintos.

Quanto ao papel do operador, o Guia reitera a lei afirmando que ele só poderá agir no limite das finalidades determinadas pelo controlador, destacando, também, a importância de haver contratos regendo a relação entre controlador e operador.

Outro ponto destacado pelo Guia é o conceito de suboperador, sendo aquele contratado pelo operador para auxiliá-lo a realizar o tratamento dos dados pessoais em nome do controlador. Recomenda-se que haja a autorização prévia do controlador para que o operador contrate um terceiro, visto que a relação do operador com o controlador é baseada na confiança, e também porque suas atividades (no caso, a contratação de um suboperador) devem seguir estritamente as instruções do controlador.

Por fim, o Guia aborda a função do encarregado, ou seja, do indivíduo responsável por garantir a conformidade de uma organização à LGPD. Considerando que a ANPD ainda está em consulta pública acerca de hipóteses de dispensa de indicação de encarregado por certas categorias de controladores, ela não endereçou este tema no Guia. Por outro lado, esclareceu a legitimidade de algumas práticas já adotadas por empresas brasileiras em adequação: possibilidade de nomeação de funcionário ou de agente externo à organização, a importância de apoio e integração com outras áreas da empresa e a formalização da indicação por ato interno. Além disso, a ANPD recomenda que, ao encarregado, lhe seja garantida liberdade de atuação e que suas qualificações dependerão das necessidades e das circunstâncias da própria organização. 

A publicação do Guia demonstra o papel bastante ativo da ANPD. Além do documento, na última semana a ANPD também abriu inscrições para a participação de especialistas em suas reuniões técnicas sobre a elaboração de relatórios de impacto, bem como submeteu à consulta pública a minuta de resolução que dispõe sobre a fiscalização e aplicação de sanção pela ANPD. 

Nossa equipe de Direito Digital está acompanhando todos os andamentos sobre esse assunto e, caso deseje obter mais informações sobre o tema, ficamos à disposição por meio do e-mail digital@kasznarleonardos.com
 

BUSCAR

Siga-nos no Facebook