Na publicação anterior da nossa série LGPD Compara, pudemos conhecer um pouco mais as diferenças e semelhanças dos conceitos básicos dispostos no Regulamento Europeu e na nossa legislação pátria acerca do tema de proteção de dados pessoais.
Sabe-se que o GDPR foi a regulamentação pioneira no assunto, servindo como norma norteadora para a elaboração da LGPD. Por este motivo, é importante entender que em ambas as orientações existem pontos em comum, bem como algumas lacunas na legislação brasileira que podem ser preenchidas por inspiração no próprio texto legal do GDPR.
Portanto, seguindo nesta linha da série LGPD Compara, abordaremos o tema relacionado aos Agentes de Tratamento de Dados Pessoais, chamados de Controlador e Operador na LGPD, correspondentes ao Responsável pelo Tratamento e Processador no GDPR.
Estes personagens são chamados de agentes de tratamento pois são aqueles diretamente responsáveis e envolvidos com o tratamento de dados pessoais. No tocante ao Responsável pelo Tratamento, o Regulamento europeu conceitua este agente em seu artigo 4º, item 7 como “pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.”
Já para a legislação brasileira, o conceito de Controlador é uma pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Percebe-se então, que de forma similar ao GDPR, as decisões que envolvem a finalidade e forma de tratamento dos dados sempre vão ser de responsabilidade deste agente (artigo 5º, inciso VI da LGPD).
Além disso, o GDPR prevê como atividade do Responsável pelo Tratamento a aplicação de medidas técnicas e organizativas que forem adequadas para assegurar que o tratamento de dados é realizado em conformidade com o Regulamento.
A LGPD, paralelamente, dispõe como atividade do Controlador a elaboração do Relatório de Impacto à Proteção de Dados Pessoais, o qual possui a “descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (artigo 5º, inciso XVII da LGPD). Ademais, é de responsabilidade do Controlador, conforme orienta o artigo 10, § 2º da LGPD, “adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.”
Por outro lado, o conceito de Processador para a GDPR é uma “pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes” (artigo 4º, item 8), enquanto de forma reflexa, o conceito de Operador para a LGPD é toda “pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (artigo 5º, inciso VII da LGPD).
No tocante à responsabilidade de ambos os agentes (Controlador e Operador), está a manutenção dos Registros das Operações de Tratamento de Dados Pessoais, conforme disposição do artigo 37 da LGPD. Segundo o artigo 28 do GDPR, para a atuação harmoniosa e em conformidade com os ditames das legislações, os dois agentes (Responsável pelo Tratamento e Processador) devem firmar contrato ou outro ato jurídico que os vincule formalmente, ao passo que a LGPD não exige tal formalização, mas afirma que o Operador deve realizar o tratamento das informações segundo as instruções do Controlador.
Entretanto, embora a legislação brasileira não preveja o pacto por meio de contrato formalizado entre as partes, pode-se considerar este acordo como uma boa prática para a segurança jurídica tanto do Controlador quanto do Operador em casos de requerimento por parte da Autoridade Nacional de Dados Pessoais (ANPD) para demonstração da conformidade com a lei.
Diante das dúvidas frequentes que pairavam no cenário de privacidade brasileiro, em Maio de 2021 a ANPD publicou alguns esclarecimentos sobre o tema, elencando as responsabilidades e conceitos relacionados aos agentes de tratamento de dados pessoais.
Percebe-se, portanto, a diferenciação das responsabilidades de cada agente de tratamento, bem como a extrema compatibilidade das atividades previstas tanto no GDPR quanto LGPD, de forma que podem ser utilizadas de forma subsidiária quando não houver determinação expressa para eventual atividade. Fiquem atentos às nossas próximas publicações comparativas.
Fernanda Scheiner de Brito Baldissara Leite
Analista Jurídica da Every Cybersecurity and GRC Solutions