No dia 28 de maio, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado com o intuito de estabelecer diretrizes não-vinculantes aos agentes de tratamento  e esclarecer, mediante a apresentação de casos concretos, quem pode ser enquadrado na figura de controlador, operador e de Encarregado pela Proteção dos Dados (o famoso DPO – Data Protection Officer), bem como as respectivas responsabilidades dos agentes atinentes ao tratamento de dados pessoais.

Exercendo a sua função orientadora, a ANPD divulga o Guia em um momento em que ainda há muitos questionamentos em relação à Lei Geral de Proteção de Dados (LGPD) e reforça a inspiração da lei brasileira de proteção de dados à legislação europeia (GDPR – General Data Protection Regulation). Faltando um pouco mais de um mês para a aplicação das sanções administrativas que guarnecem a LGPD, as quais passarão a entrar em vigor a partir de agosto de 2021, a publicação de tais orientações fornece às empresas e aos profissionais do ramo um melhor embasamento de como devemos aplicar a LGPD, porém em um timing onde muito já foi feito e que, diante das omissões da Lei – ainda muito presentes -, houve e há a necessidade de buscar paliativos nos entendimentos provenientes da União Europeia. 

Não obstante, ao lermos o Guia, é possível verificar uma semelhança com as Guidelines n. 07/2020 on the concepts of controller and processor in the GDPR, publicado em 02 de setembro de 2020 pela European Data Protection Board (EDPB), não somente em relação ao seu formato, mas também ao seu conteúdo. Ainda assim, importante frisar que o Guia publicado pela ANPD traz, além dos Agentes de Tratamento, orientações não-vinculativas relacionadas ao Encarregado pela Proteção de Dados Pessoais, o qual limita-se a apenas duas páginas, em contrapartida com o WP 243 – Guidelines on Data Protection Officers (DPOs), publicado pela European Commission com suas vinte e cinco páginas.

Quanto aos pontos que merecem mais destaque, evidenciam-se duas questões: a formalização da possibilidade de ser indicado como Encarregado pela Proteção de Dados um agente externo à instituição, de natureza física ou jurídica, e o reconhecimento da ANPD sobre a existência da Controladoria Conjunta e Controladoria Singular.

De acordo com a LGPD, em seu artigo 5, VIII, encarregado é a pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, o titular dos dados e a ANPD. Diferentemente da definição de Operador e de Controlador, presente no mesmo artigo, em que os categoriza como “pessoa física ou jurídica”, o legislador se absteve de especificar o tipo de “pessoa” a que se referia ao encarregado. 

Apesar da ausência de especificação, serviços de “DPO as a service”, ou seja, prestação de serviço terceirizado de Encarregado pela Proteção de Dados, já são oferecidos em território nacional, tendo como fundamento a existência desta prática na União Europeia, bem como a incontestável permissão do fornecimento deste serviço pela GDPR[1] e Guidelines. Dessa forma, a orientação da ANPD nesse sentido vem a ratificar o entendimento dos profissionais que atuam neste segmento. 

Quando diante da nomeação de um Encarregado interno, alguns cuidados devem estar no radar das empresas, como por exemplo, não integrar um cargo de diretoria, possuir conhecimentos de compliance e segurança da informação, e ter autonomia interna, respondendo diretamente à diretoria da empresa. Não obstante, cumpre ressaltar a necessidade de avaliar eventuais riscos trabalhistas atinentes à atividade caso a caso, podendo haver a configuração de acúmulo de função com os respectivos reflexos salariais, riscos estes inexistentes quando diante de um Encarregado pelo Tratamento de Dados Pessoais terceirizado. 

No que se diz respeito à Controladoria Conjunta e Controladoria Singular, a ANPD reconheceu a existência de uma relação entre agentes de tratamento mencionada expressamente na GDPR, em seu artigo 26 (1), bem como na Guidelines n. 07/2020 on the concepts of controller and processor in the GDPR, que assim denomina de “joint controllers”. Apesar da LGPD não fazer menção expressa quanto à existência de dois controladores em uma mesma cadeia de tratamento, o artigo 42, §1º, II dispõe sobre a responsabilidade dos controladores que estiverem envolvidos no tratamento, prevendo de antemão a possibilidade da existência de dois ou mais controladores em uma mesma relação.

De acordo com as relações entre agentes de tratamento, o cenário tradicional envolve o operador e o controlador. Contudo, ocorre situações que os agentes de tratamento envolvidos serão ambos considerados controladores, ou seja, mais de um controlador terá poder de decisão, uma vez que determinarão as finalidades e os elementos essenciais em que se dará o tratamento. Acerca da finalidade do tratamento, esta pode ocorrer em razão de decisões comuns ou convergentes entre os Controladores, e é aí que encontramos a diferenciação de Controladoria Conjunta e Controladoria Singular.

Segundo o Guia Orientativo, estaremos diante de uma Controladoria Conjunta quando duas ou mais entidades possuírem uma intenção comum sobre as finalidades e meios de tratamento, e tomarem decisões em conjunto[2], havendo a responsabilização solidária dos agentes nos moldes do artigo 42, §1º, II. Em contrapartida, teremos Controladores Singulares quando as decisões entre os agentes forem distintas, porém complementares, de tal forma que não seria possível atingir a finalidade do tratamento sem a participação de ambos os Controladores, afastando, dessa forma, o artigo 42, §1º, II.

Em relação à abordagem superficial trazida em um todo pela ANPD, cumpre salientar que o próprio órgão, em suas considerações finais, informa que o documento foi elaborado com o objetivo de sanar as principais dúvidas apresentadas à ANPD em relação aos Agentes de Tratamento e ao Encarregado, não substituindo futuras regulamentações e recomendando como complemento ao Guia o acompanhamento das decisões da Autoridade.

[1] Artigo 37 (6), General Data Protection Regulation (GDPR). Disponível em: https://gdpr-info.eu/art-37-gdpr/.

[2] Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Maio de 2021, página 13. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf.