LGPD: guia orienta sobre atuação dos Agentes de Tratamento de Dados Pessoais e do Encarregado (DPO)

Quem pode exercer a função do controlador, do operador e do encarregado pelo tratamento de dados pessoais (DPO)? Quais são as definições legais e os respectivos regimes de responsabilidade? Quais são as diretrizes aos agentes de tratamento?

Para responder a essas e outras questões sobre os papéis dos agentes de tratamento e do encarregado de dados, a Autoridade Nacional de Proteção de Dados (ANPD) preparou um guia orientativo sobre o tema. “O documento traz segurança jurídica e sana algumas das principais dúvidas que surgiram ao longo dos primeiros meses de existência da Autoridade”, afirma Waldemar Gonçalves Ortunho Junior, Presidente da ANPD.

O “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado” está disponível no site da ANPD. Clique aqui para acessar o documento na íntegra.

Confira alguns dos principais pontos a seguir:

Agentes de Tratamento: são o controlador e o operador de dados pessoais, que podem ser pessoas físicas ou jurídicas, de direito público ou privado. O agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento.

Controlador: é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais. Na maioria das vezes, o controlador será uma pessoa jurídica, seja de direito privado ou público. Uma pessoa natural poderá ser controladora nas situações em que é a responsável pelas principais decisões referentes ao tratamento de dados pessoais, como ocorre com empresários individuais e profissionais liberais. Nessa hipótese, a pessoa natural age de forma independente e em nome próprio – e não de forma subordinada a uma pessoa jurídica ou como membro de um órgão desta. Não são controladoras as pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos.

Operador: é uma pessoa natural ou jurídica que atua como agente responsável por realizar o tratamento de dados em nome do controlador. O operador só poderá tratar os dados para a finalidade previamente estabelecida pelo controlador. Isso demonstra a principal diferença entre o controlador e operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador.

Encarregado pelo tratamento de dados pessoais: é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. Ele deve ser indicado pelo controlador de dados, conforme estabelecido pelo artigo 41 da LGPD. A lei não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo. Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.

Em sua primeira edição, a publicação está sujeita a comentários e contribuições e será atualizada à medida que novas regulamentações e entendimentos forem publicados e estabelecidos pela ANPD. As contribuições podem ser enviadas para o e-mail normatizacao@anpd.gov.br.

Fonte: ANPD