ANPD publica guia orientativo sobre agentes de tratamento. Confira principais pontos

Compartilhe esse conteúdo

Na última sexta-feira (28) a ANPD publicou, em seu site oficial, um guia não vinculante, esclarecendo diversos pontos acerca da atuação do controlador, operador e do encarregado. O documento chega para sanar dúvidas recorrentes de empresas quanto aos agentes de tratamento e impactará diretamente na gestão e governança de dados de empresas que tratam dados pessoais.


O guia ainda está em sua primeira versão oficial e, segundo a própria autoridade, ainda está sujeita a comentários e contribuições da sociedade civil através do endereço eletrônico do órgão (normatizacao@anpd.gov.br)

Agentes de tratamento: Quem pode ser considerado agente de tratamento?


O documento estabelece, de forma clara e consoante ao texto da lei, que os agentes de tratamentos consistem no controlador, e no operador de dados pessoais, os quais podem ser pessoas naturais ou jurídicas, de direito público ou privado. O guia ressalta que os agentes de tratamento devem ser definidos a partir de seu caráter institucional. Além disso, que não são considerados controladores ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento.

O documento frisa, ainda, uma importante questão já tratada por muitos especialistas do tema desde a publicação da lei: a diferença, muitas vezes até sutil, entre a posição de operador versus funcionário subordinado.

Segundo a Autoridade: “Serão controladoras quando atuarem de acordo com os próprios interesses, com poder de decisão sobre as finalidades e os elementos essenciais de tratamento.”

“Serão operadoras quando atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento. O operador deve ser uma entidade distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos. Por outro lado, os funcionários atuarão em subordinação às decisões do controlador, não se confundindo, portanto, com os operadores de dados pessoais.”

Controladoria conjunta e controladoria singular


O guia traz algumas definições importantes e inéditas quanto a figura do controlador, em especial na denominada ‘controladoria conjunta’. O termo, segundo o documento, provém do artigo art. 42, §1º, II, onde é possível interpretar que, para determinados tipos de tratamento, exista mais de um controlador.


Sustentando o novo conceito, o documento faz alusão a existência do controlador com atuação conjunta, prevista no GDPR:
“Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respectivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respectivos deveres de fornecer as informações referidas nos artigos 13º e 14º, a menos e na medida em que as suas responsabilidades respectivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.”

Observações sobre a atuação do Encarregado


O documento finda com a análise de um dos agentes mais cruciais no tratamento de dados pessoais regido por uma empresa: o encarregado de dados. Como ocorrido com o papel dos demais agentes abordados no guia, o papel do responsável pelo tratamento de dados pessoais dentro de uma organização também foi desenvolvido.


A priori, o guia esclarece uma das dúvidas mais comuns das empresas que estão se estruturando internamente: é mesmo necessário que todas as empresas tenham um Encarregado? E a resposta (pelo menos por agora) é sim.

Veja o trecho que a Autoridade aborda a questão: “Ao contrário de outras legislações de proteção de dados estrangeiras, a LGPD não determinou em que circunstâncias uma organização deve indicar um encarregado. Assim, deve-se assumir, como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel. Contudo, de acordo com o § 3º do art. 41, normativas futuras da ANPD poderão trazer hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.”


Ademais, o documento ressalta algumas boas práticas no que tange a estrutura interna e de governança que envolverá o Encarregado, são elas:

  • Tornar o ato de indicação do Encarregado, formal. Ou seja, utilizando-se de um contrato de prestação de serviços ou um ato administrativo, por exemplo.
  • Avaliar critérios técnicos mínimos que validem o conhecimento do Encarregado frente a assuntos de segurança da informação e proteção de dados, considerando as necessidades da empresa em que atuará. Dessa forma, fica claro que um cuidado redobrado deverá ser tomado para que empresas evitem de reaproveitar cargos de lideranças já existentes da empresa, por exemplo.
  • Por fim, o documento ressalta a importância da liberdade que deverá rodear as decisões do Encarregado, bem como a existência de recursos estruturantes, como financeiros, prazos razoáveis e, caso aplicável, equipe de proteção de dados que apoie o Encarregado em suas atribuições.

Voce pode conferir o documento na íntegra, aqui.


Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

20 + dezessete =