ANPD edita diretrizes para escolha de DPO, controlador e operador de dados

Na última sexta-feira (28/05), a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. O documento apresenta as diretrizes sobre a matéria.

O guia editado, além de estabelecer as diretrizes não-vinculantes aos agentes de tratamento de dados, esclarece quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto.

Abaixo destacam-se os principais conceitos previstos no guia da ANPD.

Controlador

De acordo com o guia publicado pela ANPD, controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados e por definir a finalidade deste tratamento. Entre as decisões que estão sob responsabilidade do controlador, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados. Consoante o disposto no art. 5º da Lei Geral de Proteção de Dados (LGPD), sendo que o controlador poderá ser pessoa natural ou jurídica, de direito público ou privado.

Controladoria Conjunta e Controladoria Singular

Dependendo do contexto, uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador. Conforme a LGPD, quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária. Identifica-se uma controladoria conjunta quando mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais; há interesse mútuo de dois ou mais colaboradores sobre um mesmo tratamento; e dois ou mais controladores adotem decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.

Operador

O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada. De acordo com o disposto na LGPD (art. 5º, inciso X), o operador poderá ser pessoa natural ou jurídica, de direito público ou privado.

Importante destacar que a principal diferença entre o controlador e operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador.

Contudo, a LGPD estabelece que controlador e operador compartilham obrigações e, consequentemente, a responsabilidade de manter o registro das operações de tratamento, além de possuírem a obrigação de reparação se causarem dano patrimonial, moral, individual ou coletivo a outrem, no âmbito de suas respectivas esferas de atuação.

Encarregado

O encarregado pelo tratamento de dados pessoais deve ser indicado pelo controlador e será responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD.

O encarregado terá como suas principais atribuições aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Na LGPD, ao contrário de outras legislações estrangeiras, não determinou em que circunstâncias uma organização deve indicar um encarregado. Desse modo, de acordo com o guia da ANPD, via de regra, toda organização deverá indicar uma pessoa para assumir o papel de encarregado. Contudo, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

A ANPD destaca que o guia em questão foi construído com o objetivo de trazer maior segurança aos titulares de dados e aos agentes de tratamento, sanando algumas das principais dúvidas que têm sido apresentadas à autoridade, com relação aos papéis e responsabilidades dos agentes de tratamentos de dados. Ainda, o órgão recomenda, como complemento ao guia, o acompanhamento das decisões da Autoridade.

Importante destacar que a cartilha funciona apenas como uma primeira versão e está sujeita à comentários e contribuições da sociedade civil. As contribuições podem ser enviadas para o e-mail normatizacao@anpd.gov.br. O recebimento de sugestões de aprimoramento do guia é contínuo e o documento será atualizado na medida em que novas regulamentações e entendimentos forem publicados e estabelecidos pela ANPD.

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709, de 14 de agosto de 2018, entrou em vigor em 18 de setembro de 2020. Entretanto, as sanções passam a vigorar a partir de agosto de 2021.

Acesse a íntegra do “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”.

Permanecemos à disposição para demais esclarecimentos que se fizerem necessários.

AGF Advice Consultoria Legislativa, Tributária e Empresarial