A Lei 13.709/2018[1], Lei Geral de Proteção de Dados(LGPD), imprime um enfoque holístico sobre a identidade[2] de um indivíduo, o qual, ao fim e ao cabo, é o sujeito protegido por aquela lei.
A identidade a que nos referimos consiste no conjunto de dados pessoais que, ao identificar ou torna identificável o indivíduo, consubstancia a sua personalidade[3].
Tais dados são diariamente coletados de diversas formas, por múltiplos agentes e em inúmeras atividades, como quando navegamos em sites, criamos perfis em redes sociais, fazemos compras online ou em loja física, entre outras.
E qual é a importância disso?
Simples. Os dados são exatamente o objeto com o qual os controladores, os operadores e os encarregados trabalham, razão pela qual importa conhecer o papel de cada um desses atores na grande peça do tratamento de dados.
Afinal, quem é quem?
Algumas premissas precisam ser estabelecidas para facilitar a compreensão. O primeiro passo é ter em mente que a LGPD é uma legislação recente. Dessa forma, a leitura de vários institutos nela previstos, bem como a definição de quem são o controlador e o operador, em determinadas relações jurídicas, se dá de acordo com parâmetros já consolidados pela legislação europeia de proteção de dados, GDPR[4] (General Data Protection Regulation) - em Portugal chamado de RGPD (Regulamento Geral de Proteção deDados Europeu) - o qual se refere aos agentes de tratamento de forma distinta da nossa lei.
Num segundo momento, é premente não confundir stakeholders (agentes de tratamento), que são os controladores e operadores, com o encarregado de dados, que não é agente de tratamento, consoante o inciso IX[5] do art. 5 da LGPD. O quadro abaixo pode ajudar a compreensão das nomenclaturas.
Passemos, pois, às definições estabelecidas na LGPD acerca desses atores: os stakeholders e o encarregado.
Art. 5º Para os fins desta Lei, considera-se[6]:
…
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção deDados (ANPD);
Percebe-se que a lei nos oferece uma definição pouco prática acerca de como saber quem é quem nessa “fila do pão”. Devo aqui alertar o leitor de que não é fácil, no caso concreto, enquadrar o controlador e o operador, sendo maior ou menor a dificuldade a depender da experiência dos profissionais.
Por óbvio que o presente artigo não tem a pretensão de exaurir a discussão, mas de clarear alguns conceitos básicos e primordiais para que o leitor possa então usá-los de modo mais preciso.
E para organizar a nossa fila, que venha o encarregado!
Esse ator é tratado pela LGPD no art.41[7]. O primeiro ponto a ser compreendido é que diferentemente do GDPR - que o regula nos arts. 37[8] a 39, de forma inédita[9], e elencou hipóteses nas quais ele é mandatório[10] -, a LGPD não fixou critérios objetivos, impondo a nomeação do encarregado, mas deixou para a ANPD (Autoridade Nacional de Proteção de Dados)regulamentar o assunto, inclusive com a possibilidade de dispensa de nomeação do encarregado[11].
Outro aspecto fundamental consiste no fato de que nem toda entidade terá o seu próprio encarregado uma vez que pode ser dispendioso manter um profissional dentro da entidade; assim, o encarregado pode também ser um DPO as a service, ou seja, o encarregado terceirizado.
Por fim, o encarregado consiste num ator que transita por diferentes atos dessa grande peça que é o tratamento de dados. Percebe-se que ele é um ponto focal que se conecta com os colaboradores da entidade para qual trabalha ou presta serviço, com os titulares dos dados e também com a ANPD. Cabe a ele outras atividades que são elencadas no §2[12] do art. 41 da LGPD, de forma não exaustiva.
Como o leitor pode constatar, a compreensão de quem é o encarregado não é tarefa hercúlea, diferentemente dos nossos próximos dois atores.
Controlador ou operador? Ou controlador e operador? Ou controlador e controlador?
Imagine você leitor assistindo ao primeiro ato de uma peça em que os atores representam papéis bem definidos, em que não resta dúvida de quem é do bem e de quem é do mal. Já no segundo ato, o bem e o mal passam a transitar no campo um do outro, e aquelas definições, outrora claras, jazem num campo cinzento.
Saber quem é o controlador e o operador parece às vezes vagar naquele campo cinzento, em razão da dinâmica das relações entre eles. E não poderia ser diferente haja vista a evolução constante propulsionada por fatores tais como a tecnologia da informação.
Tomemos como exemplo uma determinada empresa de cloud que tenha sob o seu foco o B2C (business to consumer, isso é, que ofereça o seu serviço diretamente para o consumidor individual) bem como o B2B (business to business, ou seja, que ofereça o seu serviço de armazenamento de dados para outras entidades que não possam fazer isso com recursos próprios, ou não queiram fazer).
Será a referida empresa controladora ou operadora? Ou as duas coisas? Perceba que a empresa agirá como controladora sob o enfoque B2C, uma vez que ela realizará o tratamento dos dados dos seus clientes individuais. Ao mesmo tempo, será operadora na relação jurídica estabelecida B2B com a outra entidade para a qual armazenará, por exemplo, os dados dos clientes, empregados, etc.
Não paremos por aí. Digamos que o negócio da empresa de cloud (empresa 1) esteja indo muito bem, mas ela não tenha estrutura para absorver mais clientes na modalidade B2B, para cujos clientes oferece armazenamento de dados de seus funcionários. Os estrategistas da empresa 1 percebem que uma solução rápida para continuar escalonando seu negócio é contratar outra empresa de cloud (empresa 2). A empresa 2 deverá armazenar os dados dos clientes que tenham contratado a empresa 1 para cuidar de dados de seus funcionários, com a devida autorização. Nesse cenário, a empresa 1 será operadora para seus clientes B2B, e controladora em relação à empresa 2, pois caberá a ela determinar quais dados serão armazenados e o modo[13] em que serão, aspectos esses em consonância com as guidelines 07/2020 do European Data Protection Board.
É importante que entendamos a dinâmica de cada relação jurídica estabelecida entre as partes para que possamos enquadrar os atores. Há pontos que, devidamente considerados, dão um norte para a definição de quem é quem no caso em concreto. De acordo com o conceito de controlador oferecido pela LGPD, já mencionado alhures, consiste na pessoa natural ou jurídica, de direito público ou privado, a quem caberá decidir quais os dados serão tratados, os propósitos e as atividades que comporão o tratamento.
Juntamente com o conceito acima, podemos nos guiar pelos parâmetros estabelecidos nas guidelines 07/2020do European Data Protection Board que, em cinco blocos, definem o controlador, quais sejam[14]:
• A pessoa natural ou jurídica, autoridade pública, agência ou outro órgão. A referida guideline esclarece que é a própria entidade que assume a posição de controller[15], ainda que aponte um responsável para acompanhar a implementação e certificar a conformidade - esse indivíduo não passa a ser o controller pois atua em nome da entidade.
• Que determina. Aqui ficam claros o poder e a influência do controller no que tange ao tratamento em si, haja vista que os aspectos-chave são determinados pelo controller. Aliás, essa determinação pode advir da lei, de forma explícita ou implícita, ou mesmo das circunstâncias fáticas.
• Sozinha ou conjuntamente com outros.A GDPR trabalha com o conceito de joint controllers.
• Os objetivos e os meios. As razões e a forma de tratamento também são ditadas pelo controller, contudo, vale observar que há uma margem de manobra acerca de determinados elementos que podem ser decididos pelo processor.
• Do tratamento dos dados pessoais. Não significa que o controller tenha que determinar todos os passos do tratamento ou mesmo que tenha acesso aos dados.
Quanto ao operador, a LGPD dispõe ser pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento em nome do controlador, isso é, na perspectiva do operador, percebemos que não há margem de liberdade para decidir a razão do tratamento.No entanto, há alguma margem quanto ao meio.
Um bom método para verificar o enquadramento do operador é fazer as perguntas: "qual o motivo de determinado tratamento de dado estar ocorrendo? Quem teve essa ideia? Quem efetivamente deu início a qualquer uma das hipóteses previstas de tratamento?”[16] Outra pergunta que pode ser feita é a seguinte: “teria a empresa contratada realizado determinada atividade de tratamento de dados pessoais - da maneira e pela razão tal como ocorreu - não fora a solicitação da contratante?"[17] Se a resposta for positiva, ambas são controladoras; se negativa, a contratada será a operadora.
Por fim, outra técnica para determinar os agentes consiste em averiguar a quem cabe invocar uma das bases legais para o tratamento dos dados dispostas no art. 7º da LGPD, uma vez que esse poder-dever cabe ao controlador.
Portanto, para enxergarmos os papéis dos atores nessa grande peça do tratamento de dados é necessário ampliar a visão e buscar parâmetros nas legislações estrangeiras e nas guidelines, a fim de extrair o melhor do texto da lei e lhe dar eficácia.
[1] BRASIL. Lei n. 13.709 de 14 de agostode 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 13 de mar. 2021.
[2] IDENTIDADE. In: Dicionário Caldas Aulete Digital. Disponível em: <https://www.aulete.com.br/identidade> Acesso em: 13 de mar. 2021."Conjunto de características próprias de uma pessoa, um grupo etc. quepossibilitam a sua identificação ou reconhecimento”.
[3] DONEDA, Danilo. A proteção dos dados pessoais como direito fundamental. Espaço Jurídico Journal of Law[EJJL], 12(2), 91-108. Disponível em: <https://portalperiodicos.unoesc.edu.br/espacojuridico/article/view/1315/658>. Acesso em: 13 de mar. 2021.
[4] GDPR - General Data Protection Regulation. Disponível em <https://gdprinfo.eu/pt-pt> Acesso em: 13 de mar. 2021.
[5] BRASIL, op. cit., nota 1.
[6] BRASIL, op. cit., nota 1.
[7] BRASIL, op. cit., nota 1.
[8] GDPR, op. cit., nota 4.
[9] MALDONADO, Viviane Nóbrega; BLUM,Renato Opice. coord. Comentários ao GDPR - Regulamento Geral de Proteção de Dados da União Europeia. 2 ed. 2019. Disponível em: <https://ler.amazon.com.br/?asin=B089QW6ND2>. Acesso em: 14 mar. 2021.
[10] MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. coord. LGPD - Lei Geral de Proteção de DadosPessoais Comentada. 3 ed. 2021. Revista dos Tribunais. Disponível em:<https://proview.thomsonreuters.com/launchapp/title/rt/codigos/188730949/v3/page/RL-1.12> Acesso em: 14 mar. 2021.
[11] BRASIL, op. cit., nota 1.
[12] BRASIL, op. cit., nota 1.
[13] EUROPEAN DATA PROTECTION BOARD. Guidelines 7/2020 on concepts of controller and processor inthe GDPR. 02set. 2020. Disponível em: <https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf>. Acesso em: 14 mar. 2021.
[14] Ibid.
[15] As nomenclaturas quanto aos agentes são as originais do guideline, portanto, conferir o quadro de parâmetros.
[16] MALDONADO, Viviane Nóbrega; BLUM, Renato Opice, op. cit., nota 10.
[17] MALDONADO, Viviane Nóbrega; BLUM, Renato Opice, op. cit., nota 9.
