Para entender corretamente a Lei Geral de Proteção de Dados Pessoais (LGPD), é preciso compreender o papel dos atores listados na legislação: os agentes de tratamento (controlador e operador); o encarregado; o titular; a Autoridade Nacional de Proteção de Dados (ANPD); e o Conselho Nacional de Proteção de Dados Pessoais (CNPD).
Ao longo deste artigo, exploraremos detalhadamente os deveres e responsabilidades de cada um deles, destacando suas atribuições, interações e impactos na proteção dos dados pessoais dos cidadãos brasileiros.
Para isso, veremos:
- Quem são os agentes de tratamento de dados pessoais
- Os deveres do controlador
- O papel do operador
- Quem não são agentes de tratamento de dados pessoais
- O que faz o encarregado pelo tratamento de dados pessoais
- Deveres e responsabilidades do titular
- A função da ANPD
- O auxílio do CNPD
O primeiro passo é entender quem são os agentes de tratamento de dados pessoais.
Quem são os agentes de tratamento de dados pessoais
Tratamento de dados pessoais, segundo o art. 5º, X, da LGPD, é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A lista extensiva de 20 substantivos que indicam ações deixa claro que praticamente qualquer coisa que se faça com um dado pessoal pode ser considerada tratamento.
Quem faz qualquer uma dessas ações são os agentes de tratamento.
Para a LGPD, existem apenas dois agentes de tratamento:
- O Controlador
- O Operador
Vale ressaltar: o encarregado de proteção de dados, o titular dos dados pessoais e mesmo a ANPD ou o CNPD não são considerados agentes de tratamento. Eles são apenas os outros atores listados na lei e que interagem com os agentes de tratamento.
Isto posto, vejamos o papel de cada um dos agentes de tratamento, começando pelo controlador.
Os deveres do controlador
Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, segundo o art. 5º, VI, da LGPD.
A palavra-chave aqui é decisões.
Em regra, o controlador vai ser a empresa, prestador de serviço ou órgão público que decide usar o dado pessoal de alguma forma para realizar seus objetivos.
É ele que precisa decidir qual a base legal que será utilizada para realizar o tratamento dos dados, inclusive provando que obteve o consentimento do titular dos dados caso decida utilizar a primeira base legal do art. 7º da LGPD.
Eis algumas das responsabilidades específicas do controlador:
- Decidir como será o tratamento de dados
- Decidir qual será a base legal utilizada para o tratamento
- Elaborar o relatório de impacto à proteção de dados pessoais
- Provar que obteve consentimento do titular nos casos em que o tratamento for realizado com base em consentimento
- Informar ao titular se houver alterações nas informações de identificação ou contato do controlador, bem como nas de uso compartilhado de dados ou finalidade do tratamento
- Adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse
- Manter pública a informação sobre os tipos de dados de crianças e adolescentes coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos
- Realizar, no caso de tratamento de dados de crianças, todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança
- Responder as requisições dos titulares
- Fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada
- Manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse
- Fornecer informações ao operador
- Indicar o encarregado pelo tratamento de dados pessoais, publicando suas informações de contato
- Reparar danos causados em razão do exercício de atividade de tratamento de dados pessoais
- Comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares
- Formular regras de boas práticas e de governança
Entre os agentes de tratamento, o controlador é a figura que sempre estará presente. Caso ache necessário, o controlador pode contratar um operador para realizar o tratamento de dados pessoais em seu nome.
O papel do operador
Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Nem sempre o operador estará presente em uma operação de tratamento de dados pessoais, mas apenas quando o controlador assim decidir.
Por ser uma espécie de subordinado, o operador deve realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre proteção de dados pessoais.
Assim como o controlador, o operador também deve manter registro das operações de tratamento de dados pessoais que realizar, especialmente quando baseado no legítimo interesse.
No caso de prejuízos a terceiros, o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da LGPD ou quando não tiver seguido as instruções lícitas do controlador.
Neste caso, o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43:
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Vale ressaltar que este art. 43 aplica-se tanto ao operador quanto ao controlador, visto que o caput o designa aos agentes de tratamento.
O operador e o controlador ainda respondem pelos danos decorrentes da violação da segurança dos dados quando derem causa e deixarem de adotar as medidas de segurança previstas na lei.
Outra responsabilidade dos dois agentes de tratamento é a de formular regras de boas práticas e de governança, levando em consideração a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes do tratamento.
Atores que não são classificados como agentes de tratamento de dados pessoais
Até aqui, vimos que existem dois agentes de tratamento: o controlador e o operador.
A LGPD, no entanto, cita ainda outros três atores importantes para o contexto de proteção de dados pessoais:
- O encarregado pelo tratamento de dados pessoais
- O titular dos dados pessoais
- A Autoridade Nacional de Proteção de Dados
- O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Vejamos o papel de cada um deles, reforçando que os três não são agentes de tratamento de acordo com o disposto na LGPD.
O que faz o encarregado pelo tratamento de dados pessoais
O encarregado pelo tratamento de dados pessoais é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
A autoridade recomenda que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo, embora não haja previsão legal de que o nome do profissional seja formalmente comunicado à entidade.
Visto que a LGPD não restringiu que o encarregado seja uma pessoa natural, ele pode tanto ser uma pessoa física (funcionário da empresa do controlador ou profissional terceirizado, por exemplo) quanto uma pessoa jurídica contratada para realizar as atividades.
Assim, o controlador pode indicar tanto uma pessoa física quanto uma empresa para atuar como encarregado, divulgando sua identidade e informações de forma clara e objetiva, preferencialmente no seu próprio site. Também pode prover uma equipe de apoio ao encarregado.
Sendo um terceirizado, um mesmo profissional pode atuar como encarregado em diferentes organizações, desde que seja capaz de realizar suas atribuições com eficiência.
E quais são as atividades do encarregado? A resposta inicial está no art. 41, § 2º, da LGPD:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Essa lista de atividades, no entanto, não é taxativa. A própria LGPD dispõe que a ANPD pode estabelecer normas complementares sobre a definição e as atribuições do encarregado.
Dispensa do Encarregado
Segundo a LGPD, a ANPD pode prever hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte do controlador ou o volume de operações de tratamento de dados.
Assim, a regra é que toda organização que realiza tratamento de dados pessoais indique um encarregado. A dispensa é uma exceção.
Em 2022, foi publicada a Resolução CD/ANPD Nº 2, que aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
Segundo a Resolução, a indicação do encarregado foi dispensada para agentes de tratamento de pequeno porte, hipótese na qual deve ser disponibilizado um canal de comunicação com o titular dos dados.
A polêmica sobre as certificações para DPO
No mercado de trabalho relacionado à proteção de dados pessoais, o encarregado é mais conhecido como DPO (Data Protection Officer), terminologia constante na versão em inglês do GDPR (Regulamento Geral sobre a Proteção de Dados da União Europeia).
A previsão da figura do encarregado abriu todo um mercado de cursos, provas e certificações para a qualificação deste tipo de profissional.
A ANPD, no entanto, esclarece que não consta na legislação, nem em orientações da autoridade, exigência para que o encarregado possua algum tipo de certificação profissional.
As qualificações profissionais do encarregado devem, assim, ser definidas mediante um juízo de valor realizado pelo controlador, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.
Deveres e responsabilidades do titular
Titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Por essa definição, ficam excluídos do conceito de titular as pessoas físicas já falecidas e as pessoas jurídicas.
A LGPD prevê uma série de direitos para o titular, dando a ela a prerrogativa de controle sobre os seus próprios dados pessoais como regra geral. O dispositivo que sumariza esses direitos é o art. 17, que dispõe:
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
O titular pode obter do controlador, mediante mera requisição, informações sobre:
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;
- eliminação dos dados pessoais tratados com o consentimento do titular (exceto nos casos de cumprimento de obrigação legal ou regulatória pelo controlador, estudo por órgão de pesquisa, transferência a terceiro ou uso exclusivo do controlador);
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- revogação do consentimento dado para o tratamento de seus dados pessoais.
Por fim, vale lembrar que os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
A função da ANPD (Autoridade Nacional de Proteção de Dados)
O art. 5º, XIX, da LGPD diz que a ANPD é um órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
A rigor, hoje a ANPD não é mais um órgão, e sim uma entidade.
Desde 2022, com a promulgação da Lei 14.460, a autoridade ganhou natureza de autarquia de natureza especial, dotada de autonomia técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal.
Trata-se da mesma natureza jurídica das agências reguladoras, como Anatel, Aneel, Antaq etc.
Assim como as agências, a ANPD é comandada por um Conselho Diretor, composto por cinco diretores, incluindo o Diretor-Presidente.
Os diretores são escolhidos pelo Presidente da República e por ele nomeados, após aprovação em arguição pública pelo Senado Federal, para um mandato de quatro anos.
Competências da ANPD na fiscalização dos agentes de tratamento
As competências da autoridade estão dispostas no art. 55-J e incluem, de forma simplificada:
- zelar pela proteção dos dados pessoais, observando segredos comercial e industrial;
- elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- fiscalizar e aplicar sanções;
- apreciar petições de titular contra controlador;
- promover estudos e o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais;
- estimular padrões que facilitem o exercício de controle dos titulares sobre seus dados pessoais;
- promover ações de cooperação com autoridades de outros países;
- dispor sobre as formas de publicidade das operações de tratamento de dados pessoais;
- solicitar ao Poder Público informações sobre o âmbito, a natureza dos dados e os demais detalhes de tratamentos realizados
- elaborar relatórios de gestão anuais acerca de suas atividades;
- editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade;
- ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante;
- realizar auditorias, ou determinar sua realização;
- celebrar compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa;
- editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas e empresas de pequeno porte e startups;
- garantir que o tratamento de dados de idosos seja efetuado de maneira simples, observando o Estatuto do Idoso;
- deliberar sobre a interpretação da LGPD;
- articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas;
- implementar mecanismos para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.
Para auxiliar o trabalho da ANPD, a lei previu ainda a criação de uma espécie de órgão consultivo, que é o último dos atores listados na lei: o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD).
O auxílio do CNPD (Conselho Nacional de Proteção de Dados Pessoais e da Privacidade)
O CNPD é um órgão consultivo composto por 23 representantes indicados por órgãos públicos dos Três Poderes e também por entidades privadas, incluindo academia, sindicatos e sociedade civil.
Com mandato de dois anos, os conselheiros prestam, de forma não remunerada, um serviço público para auxiliar a ANPD, com as seguintes competências:
- propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
- elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- sugerir ações a serem realizadas pela ANPD;
- elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade;
- disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
Segundo seu Regimento Interno (Resolução CNPD nº 1/2022), o Conselho é presidido pelo membro representante da Casa Civil da Presidência da República, ficando a condução dos trabalhos, em suas ausências e impedimentos, a cargo do conselheiro suplente formalmente designado.
A primeira formação do CNPD ocorreu em agosto de 2021, reunindo nomes relevantes de especialistas como Danilo Doneda, Bruno Bioni, Patrícia Peck e outros.
O órgão reúne-se em caráter ordinário três vezes ao ano e em caráter extraordinário sempre que convocado por seu Presidente, sendo que as reuniões ocorrem preferencialmente por meio de videoconferência.
Conclusão: agentes de tratamento e outros quatro atores da LGPD
Neste artigo, vimos que a LGPD relaciona ao todo seis principais atores.
Dois deles são considerados agentes de tratamento, ou seja, aqueles que fazem qualquer operação de tratamento de dados pessoais (produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).
Os agentes de tratamento são:
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Além deles, os outro quatro atores listados na lei (que não são agentes de tratamento) são:
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Também é conhecido no mercado como DPO (Data Protection Officer);
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- ANPD: autarquia federal de natureza especial, dotada de autonomia técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional;
- CNPD: órgão consultivo da ANPD, composto por membros da sociedade civil e representantes do poder público.
Cada um dos agentes de tratamento e demais atores, com suas responsabilidades específicas, devem agir de maneira integrada para obtenção dos objetivos da LGPD de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
