Como já explicamos em um artigo anterior e em uma série de vídeos, a Lei Geral de Proteção de Dados (LGPD) trouxe conceitos relacionados aos agentes de tratamento (controlador e operador) e ao encarregado.
Entretanto, por ser uma lei geral, alguns pontos práticos trazem muitas dúvidas para as startups e empresas atuantes no mercado, motivo pelo qual, em maio de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o “Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado”.
A seguir, separamos alguns tópicos importantes para que sua startup fique atenta:
1) Papel da Equipe da Startup e Subordinados
Não são considerados controladores ou operadores de dados os indivíduos subordinados às startups, como funcionários ou equipes, uma vez que essas pessoas operam dados pessoais sob a direção da empresa e apenas a representam.
2) Operador de Dados Pessoais Também Toma Decisões
O controlador é o responsável por tomar as decisões referentes ao tratamento de dados pessoais, mas isso não quer dizer que todas as definições sejam estabelecidas por ele.
Quando há a contratação de um operador, é comum que também sejam tomadas decisões a respeito do tratamento, limitadas aos elementos não essenciais.
Inclusive, o Guia trouxe como exemplo uma empresa que contrata uma agência de publicidade para elaborar uma campanha de marketing. Se a empresa informar todos os critérios para a campanha e a agência os seguir, ainda que a agência opine sobre os meios de tratamento e defina canais, ferramentas e produtos da campanha, ela não é a responsável pela tomada de decisão final. Por isso, nesse caso a empresa será a controladora e a agência de publicidade será a operadora dos dados.
3) Decisões de Controladores de Dados Pessoais
A startup será controladora dos dados quando definir:
- A finalidade do tratamento;
- Os objetivos que justificam a realização do tratamento;
- As bases legais;
- A natureza dos dados pessoais tratados;
- A duração do tratamento.
Novamente, o Guia trouxe exemplos práticos de decisões do controlador, como: utilizar dados pessoais para o pagamento de empregados, realizar pesquisa com clientes, promover campanha de marketing e armazenar de forma segura informações.
4) Controladoria Conjunta
Uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador, o que é chamado de controladoria conjunta.
Ou seja, a sua startup poderá ter poder de decisão e atuar com intenções comuns, em conjunto com outra empresa, para determinar às finalidades e meios de tratamento.
Consequentemente, a startup poderá responder de forma solidária por ações que causem prejuízos para titulares de dados. Por essa razão, é essencial que se firme um contrato estabelecendo as responsabilidades de cada uma das partes com relação a LGPD.
5) Necessidade de Contratos entre Controlador e Operador de Dados Pessoais
No Guia, a Autoridade Nacional de Proteção de Dados deixa claro que, embora a LGPD não determine expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, trata-se de uma boa prática.
Por isso, é essencial que a sua startup firme documentos nos quais sejam estabelecidas cláusulas que:
- Definam o objeto, a duração, a natureza e a finalidade do tratamento dos dados;
- Descrevam os tipos de dados pessoais envolvidos;
- Fixem parâmetros objetivos para definição de responsabilidades entre as partes e os direitos e obrigações de cada uma delas;
- Imponham limites à atuação do operador, deixando claro que ele pode definir elementos não essenciais do tratamento, como medidas técnicas;
- Reduzam os riscos e as incertezas decorrentes da operação.
6) Responsabilidade Principal do Controlador
Em regra, a responsabilidade pelo tratamento de dados é do controlador.
Com isso, a responsabilidade solidária é uma exceção e será aplicável somente quando o operador for equiparado ao controlador. Isso acontece quando o operador realiza um tratamento irregular, seja por descumprir as obrigações da lei ou por não observar as instruções do controlador.
7) Suboperadores de Dados
O suboperador é definido pela ANPD no Guia como aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. Assim, a relação direta do suboperador é com o operador e não com o controlador.
Todavia, caso a sua startup seja uma operadora de dados que contrata um suboperador é recomendável que se obtenha autorização formal do controlador.
Essa ação tem como objetivo evitar que se entenda que, ao contratar o suboperador, a startup tenha executado o tratamento de dados descumprindo orientações e o seu contrato com o controlador.
Ainda, é importante ter um documento formal com o suboperador, pois, se ele não cumprir as suas obrigações em matéria de proteção de dados, a startup operadora dos dados continua a ser plenamente responsável perante o controlador pelo cumprimento das obrigações do suboperador.
8) Toda Startup deve ter um Encarregado de Dados
O Guia estabeleceu que o encarregado é o indivíduo responsável por garantir a conformidade das startups à LGPD. Além disso, reforçou que, atualmente, toda empresa deverá indicar uma pessoa para assumir esse papel.
Foram indicadas como boas práticas pela Autoridade Nacional de Proteção de Dados:
- O encarregado poderá ser tanto um funcionário da startup quanto uma pessoa ou empresa externa;
- O encarregado deve ser indicado por um ato formal, como um contrato de prestação de serviços;
- O encarregado deve ter liberdade na realização de suas atribuições:
- No que diz respeito às suas qualificações, deve ter conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da startup;
- O encarregado pode ser apoiado por uma equipe de proteção de dados, devendo ter ferramentas adequadas para sua função, como: recursos humanos, prazos apropriados, finanças e infraestrutura.
Vale lembrar que o encarregado não responde pelo tratamento de dados das startups, sendo que a responsabilidade pelas atividades continua sendo do controlador ou do operador.
9) Conclusão
É importante frisar que os papéis dos agentes de tratamento são definidos em cada operação envolvendo dados pessoais. Ou seja, em determinados casos a startup poderá ser controladora e, em outros, controladora conjunta, operadora ou suboperadora.
Por isso, é muito importante contar com uma equipe jurídica especializada para auxiliar a empresa a entender em qual papel se encaixa, quais são suas responsabilidades e elaborar os contratos que, cada vez mais, se mostram indispensáveis para uma adequação à LGPD.
Por Natália Martins Nunes