A LGPD define que o encarregado também e agente de tratamento além do controlador e do operador

1 Introdução

A Lei Geral de Proteção de Dados Pessoais, Lei n. 13.709, de 14 de agosto de 2018, trouxe a definição dos sujeitos envolvidos na relação jurídica de tratamento de dados pessoais, quais sejam: de um lado o titular dos dados, entendido como a pessoa natural (física) a quem se referem os dados pessoais que são objeto de tratamento (art. 5o, inc. V da LGPD); de outro lado, os agentes de tratamento de dados pessoais, controlador, operador e encarregado.

Neste artigo vamos responder à pergunta: “Quem são os agentes de tratamento de dados pessoais trazidos pela LGPD”? Além disso, é importante compreender quais são as obrigações destes agentes de tratamento de dados pessoais, bem como a consequência jurídica por violação destas obrigações.

Destaca-se que o encarregado conforme dispõe a LGPD brasileira é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Portanto, o encarregado desempenha a importante função de estabelecer um diálogo constante entre os agentes de tratamento de dados e os titulares, por exemplo, respondendo às solicitações dos titulares dos dados pessoais, quando estes queiram exercer os direitos que a lei lhes faculta. Outra função do encarregado é responder à ANPD quando esta, e. g., solicite informações dos agentes de tratamento de dados, realize auditorias nos respectivos sistemas de informações, etc.

Por isso, o encarregado irá desempenhar uma função fundamental para mitigar os riscos aos quais os agentes de tratamento estão expostos por violação à LGPD. O art. 41 da LGPD traz as atribuições mínimas ao encarregado, ou seja, aceitar reclamações e comunicações dos titulares de dados pessoais e da Autoridade Nacional de Proteção de Dados (ANPD), bem como orientar os funcionários do controlador quanto às melhores práticas para a proteção de dados pessoais. Entretanto, a ANPD poderá definir e ampliar as atribuições do encarregado, bem como as hipóteses de obrigatoriedade e dispensa dessa figura pelos controladores.

2 Agentes de tratamento de dados pessoais na LGPD

A Lei Geral de Proteção de Dados Pessoais determina parâmetros para se definir os agentes de tratamento de dados. Em linhas gerais, os agentes de tratamento de dados são aqueles que atuam de alguma maneira no tratamento de dados, seja decidindo sobre o tratamento de dados pessoais, seja realizando o tratamento conforme as instruções recebidas. Além destes, o encarregado que é o canal de comunicação entre os titulares e os controladores ou os operadores; e estes e a Autoridade Nacional de Proteção de Dados.

Portanto, é crucial a compreensão destes agentes de tratamento de dados para que se possa estabelecer as obrigações de cada um.

2.1 Controlador

Na definição trazida pela lei, o controlador é a pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões sobre o tratamento dos dados pessoais (art. 5o, inc. VI da LGPD). A título exemplificativo, o controlador que determina a finalidade e os motivos para o tratamento de dados pessoais (LIMA, 2015, p. 255). Muitas vezes, o controlador não dispõe de aparato técnico ou sistema de informação ou mesmo know-how para realizar a coleta, o armazenamento, a classificação, e etc., hipótese em que deverá recorrer ao operador.

2.2 Operador

O outro agente de tratamento de dados pessoais mencionado na lei é o operador, entendido como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5°, inc. VII da LGPD). O operador, geralmente, detém o domínio de um sistema ou de ferramentas para realizar o tratamento de dados pessoais, mas deve ficar adstrito às orientações dadas pelo controlador.

2.3 Encarregado

Como mencionamos antes, o encarregado é fruto da experiência europeia sobre o tema que trouxe essa figura desde a Diretiva 95/46/CE. Atualmente, o Regulamento Geral Europeu (General Data Protection Regulation – GDPR – EU 2016/679) manteve essa figura aprimorando suas funções, pois o DPO ou Data Privacy Officer tem a missão de colaborar com as Autoridades Nacionais de Proteção de Dados para o efetivo cumprimento da lei.

O encarregadoé uma figura profissional com conhecimento jurídico e informático, cuja responsabilidade principal é observar, avaliar e organizar a gestão de tratamento de dados pessoais de uma determinada empresa ou órgão público para que se adeque ao sistema protetivo estabelecido pela lei (SOFFIENTINI, 2015, p. 149).

Em suma, ele pode ser um funcionário do próprio controlador ou este pode contratar uma empresa (pessoa jurídica) especializada em proteção de dados pessoais, se assim desejar. É importante que o encarregado da proteção de dados tenha conhecimento profundo sobre proteção de dados, pois deverá levar em consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento para que possa desempenhar suas funções a contento.

3 Quais são as obrigações dos agentes de tratamento de dados pessoais na LGPD?

A importância de se definir os agentes de tratamento de dados está justamente na definição de suas obrigações.

As principais obrigações do controlador são: a) elaborar relatório de impacto de proteção de dados pessoais quando determinado pela ANPD (art. 38 LGPD); b) manter registro das operações de tratamento de dados (art. 37 LGPD); c) dever de notificação sobre qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados pessoais (art. 48 LGPD); d) adotar medidas de segurança, técnicas e administrativas para a proteção de dados pessoais (art. 46 LGPD); e) formular regras de boas práticas e de governança (art. 50 LGPD); f) dever de informar (transparência) e de respeitar os demais direitos dos titulares estabelecidos no art. 17 e seguintes da LGPD; e g)  dever de sigilo.

Além das obrigações acima relacionadas para o controlador, o operador deve, também, realizar o tratamento conforme as instruções do controlador (art. 39 da LGPD).

Quanto à responsabilidade, nos termos do art. 42 da LGPD, o controlador e o operador respondem solidariamente, cabendo entre eles o direito de regresso. Por exemplo, se o controlador teve de ressarcir o titular de dados, quando o tratamento foi realizado pelo operador de maneira contrária às instruções dadas pelo controlador e contrárias à lei, ele poderá reaver os prejuízos do operador.

Por fim, ao encarregado incumbe: a) dever de sigilo ou de confidencialidade no exercício das suas funções; b) administrar as reclamações e comunicações dos titulares de dados pessoais, incluindo o dever de prestar esclarecimentos e adotar as providências cabíveis; c) administrar as comunicações da ANPD; e d) orientar os funcionários do controlador quanto às melhores práticas para a proteção dos dados pessoais.

4 Conclusão

Os agentes de tratamento de dados pessoais são definidos pela LGPD, que lhes impõe obrigações específicas, bem como o regime de responsabilidade civil. Por isso, os envolvidos no tratamento de dados pessoais devem estabelecer as respectivas funções no contrato de prestação de serviços. O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete definir o tratamento de dados pessoais; cabendo ao operador concretizar, operacionalizando o tratamento de dados pessoais. Por fim, o encarregado é um intermediário entre os titulares de dados pessoais e o controlador e o operador; e entre estes e a Autoridade de Proteção de Dados Pessoais (ANPD).

A figura do encarregado é fundamental para mitigar os riscos do controlador e do operador, podendo ser um funcionário ou uma empresa contratada para tanto. Por isso, deve ser um profissional ou melhor, uma equipe profissional multidisciplinar especializada em proteção de dados, tanto no aspecto técnico, quanto jurídico.

O controlador e o operador respondem solidariamente nos termos do art. 42 da LGPD. Já o encarregado responde consoante as regras do Direito do Trabalho (se for funcionário) ou Direito Civil/Empresarial (se for uma empresa contratada para tal finalidade). A relação jurídica interna entre os agentes de tratamento de dados pessoais deve ser norteada pela boa-fé objetiva, em que todos os envolvidos cooperam entre si para o correto cumprimento da Lei Geral de Proteção de Dados Pessoais.

5 Referências bibliográficas

BRASIL. Câmara dos Deputados. Projeto de Lei n° 5.276, de 2016, do Poder Executivo. Disponível em: <https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=62B6CCB8D15F03BD169F7421D3CDB6EE.proposicoesWeb1?codteor=1457971&filename=Avulso+-PL+5276/2016> Acesso em: 25 agosto 2019.

______.Lei n° 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Brasília, Diário Oficial da União, 15 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 07 julho 2019.

______. Lei n° 13.853, de 08 de julho de 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências. Brasília, Diário Oficial da União, 09 de julho de 2019. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art1>. Acesso em: 09 julho 2019.

______. Medida Provisória n° 869, de 27 de dezembro de 2018. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências. Brasília, Diário Oficial da União, 27 de dezembro de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Mpv/mpv869.htm>. Acesso em: 26 agosto 2019.

______. Ministério da Justiça. Anteprojeto de Lei sobre Proteção de Dados Pessoais. Versão de 2011. Disponível em: <http://culturadigital.br/dadospessoais/files/2011/03/PL-Protecao-de-Dados_.pdf>. Acesso em: 25 agosto 2019.

______. Ministério da Justiça. Anteprojeto de Lei sobre Proteção de Dados Pessoais. 1ª versão de 2015 (antes da consulta pública). Disponível em: <http://pensando.mj.gov.br/dadospessoais/texto-em-debate/anteprojeto-de-lei-para-a-protecao-de-dados-pessoais/>. Acesso em: 25 agosto 2019.

______. Ministério da Justiça. Anteprojeto de Lei sobre Proteção de Dados Pessoais. 2ª versão de 2015 (depois da consulta pública). Disponível em: <http://www.justica.gov.br/noticias/mj-apresenta-nova-versao-do-anteprojeto-de-lei-de-protecao-de-dados-pessoais/apl.pdf>. Acesso em: 25 agosto 2019.

______. Senado Federal. Projeto de Lei da Câmara n° 53, de 2018. Disponível em: <https://legis.senado.leg.br/sdleg-getter/documento?dm=7738705&ts=1559744659551&disposition=inline>. Acesso em: 25 agosto 2019.

COLOMBO, Matteo. Regolamento UE sulla Privacy: principi generali e ruolo del Data Protection Officer. 3. ed. Alemanha: Amazon Distribution, 2015.

LIMA, Cíntia Rosa Pereira de.  A imprescindibilidade de uma entidade de garantia para a efetiva proteção dos dados pessoais no cenário futuro do Brasil. Tese de Livre Docência apresentada à Faculdade de Direito de Ribeirão Preto, Universidade de São Paulo. Ribeirão Preto, 2015.

SALOM, Javier Aparicio. Estudio sobre la Protección de Datos. 4. Ed. Navarra: Thomson Reuters, 2013.

SOFFIENTINI, Marco. Privacy: protezione e trattamento dei dati. Vicenza: Wolters Kluwer, 2015.

UNIÃO EUROPEIA. Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, 04 de maio de 2016. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT#d1e8250-1-1>. Acesso em: 20 junho 2019.

Palavras-chave: Lei Geral de Proteção de Dados – LGPD. Controlador. Operador. Encarregado. Data Privacy Officer – DPO. Obrigações.

Autora: Dra. Cíntia Rosa Pereira de Lima

Professora de Direito Civil da Faculdade de Direito de Ribeirão Preto. Líder dos Grupos de Pesquisa: Tutela jurídica dos dados pessoais na internet (http://dgp.cnpq.br/dgp/espelhogrupo/4485179444454399) e Observatório do Marco Civil da Internet no Brasil (http://dgp.cnpq.br/dgp/espelhogrupo/2215582162179038). Presidente do Instituto Avançado de Proteção de Dados – IAPD.

Cíntia Rosa Lima

Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD. Advogada.

Qual é a definição de encarregado na LGPD?

Quem são os agentes de tratamento da LGPD?

Qual é a definição de controlador de dados pessoais de acordo com a LGPD?

Quais são as atribuições do encarregado de dados na LGPD?