ANPD lança guia com definições dos agentes de tratamento e encarregado da LGPD: veja os principais pontos
Seguindo a sua Agenda Regulatória, a Autoridade Nacional de Proteção de Dados (ANPD) lançou, no dia 28/05/2021, o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”.
O Guia traz esclarecimentos sobre a Lei Geral de Proteção de Dados (LGPD), com foco nas definições das figuras do controlador, operador e encarregado.
Além disso, o Guia traz exemplos de casos práticos, como, por exemplo, os deveres e cuidados que as empresas devem tomar em ações de marketing digital — o que tem sido uma das maiores preocupações de negócios que dependem dessa ferramenta para sobreviver na pandemia.
Confira os principais pontos trazidos pelo Guia.
Quem pode ser agente de tratamento de dados? E qual a diferença entre controlador e operador?
São agentes de tratamento o controlador e o operador, que podem ser pessoas físicas, ou pessoas jurídicas de direito público ou privado. Na maioria das vezes, o controlador será uma pessoa jurídica.
A empresa ou organização é a agente de tratamento para os fins da LGPD, embora, na prática, quem executa as disposições da lei são os seus representantes, empregados ou prepostos.
Cada operação de tratamento de dados pessoais terá um agente de tratamento próprio. Então, pode acontecer de uma mesma pessoa (física ou jurídica) ser controladora ou operadora, dependendo das diferentes operações de tratamento que ela executa.
Por exemplo, uma agência de marketing age como operadora ao executar uma ação de marketing para um cliente, conforme diretrizes dadas por ele (nesse caso, o cliente será o controlador). Mas, no que diz respeito ao tratamento de dados pessoais internos da agência de marketing (dos seus clientes pessoas físicas, por exemplo), ela é a controladora e deve orientar os seus funcionários sobre os cuidados que a LGPD exige no tratamento dos dados.
Não são considerados controladores (autônomos ou conjuntos) ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento.
É o operador quem fica subordinado aos interesses e às finalidades definidas pelo controlador, pois o controlador é o agente responsável por tomar as principais decisões e dar instruções aos operadores, não necessariamente executando o tratamento de dados de forma direta.
Por exemplo, um controlador pode orientar o operador sobre os elementos essenciais na escolha de um software de proteção de dados, mas a escolha e aquisição do software ficam por conta do operador.
Essa diferenciação das figuras do controlador e operador são importantes na prática, porque a LGPD atribui diferentes obrigações a cada um deles.
A figura do encarregado
O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. Na prática, tem sido chamado de Data Protection Officer (DPO).
De acordo com o Guia, a Lei não especifica em quais circunstâncias é necessário ter um encarregado, nem se ele deve ser pessoa física ou jurídica. Por isso, entende-se que as organizações sempre devem indicar um encarregado, e que ele poderá ser tanto um funcionário, quanto um agente externo, pessoa física ou jurídica. O Guia orienta, ainda, que a indicação formalizada, seja por um ato administrativo ou firmado um contrato de prestação de serviços.
O encarregado pode ter uma equipe, e não tem dever legal de exclusividade na prestação de serviços para uma empresa, podendo atender mais de uma, desde que consiga cumprir seus deveres com eficiência para todas.
O encarregado age como um ponto de contato com os titulares de dados e a ANPD. A Lei não exige nenhum tipo de cadastro ou registro do encarregado na ANPD, mas exige que sua identidade e informações de contato devem ser divulgadas ao público de alguma forma, preferencialmente no website do controlador.
Conclusão
Sabemos que a definição dos agentes de tratamento e a escolha do encarregado da LGPD requerem uma decisão estratégica, que precisa ser tomada pela diretoria da empresa, levando em consideração o custo-benefício e a responsabilidade demandados para essas atribuições.
Cada empresa, conforme sua realidade, seu ramo de negócio e seu orçamento dedicado à implementação da LGPD, deve tomar sua decisão sopesando todos estes aspectos.
Recentemente, a Angare e Angher lançou o e-book “LGPD PARA EMPRESAS: O QUE SABER E COMO IMPLANTAR”, com uma sugestão de passo a passo para adequação à LGPD que as empresas podem seguir. Ele pode ser baixado clicando aqui. Este e-book tem teor informativo e não equivale a consulta jurídica, podendo, porém, ser um ponto de partida para empresas que ainda não iniciaram seu processo de adequação à Lei Geral de Proteção de Dados.
Estamos à disposição para maiores esclarecimentos sobre esse e outros temas ligados à LGPD.
