ANPD Próximos passos – Definição de Controlador e Operador

Como falamos no artigo “Entrada em vigor da LGPD: Os próximos passos da ANPD”, a Autoridade Nacional de Proteção de Dados Pessoais, dentro de seu planejamento estratégico de 2021 – 2023, delimitou, como Objetivo Estratégico, 1 o item “Elaborar guias e recomendações sobre Proteção de Dados”.

Para tanto, foi emitido o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, em maio de 2021, trazendo diretrizes não-vinculantes aos agentes de tratamento, dentre elas: esclarecer quem pode exercer a função de controlador, de operador e de encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto.

Quem pode ser considerado agente de tratamento?

A LGPD dispõe, em seu artigo 5º, inciso IX, define como agente de tratamento o controlador e o operador. Os conceitos de controlador e operador, são dispostos de maneira clara nos incisos VI e VII deste mesmo artigo, em que o Controlador é aquele agente que detém o poder decisório quanto ao tratamento do dado pessoal e o Operador é aquele que recebe às ordens emanadas pelo Controlador sobre o tratamento dos dados pessoais, devendo segui-las à risca. Porém, com a publicação do Guia Orientativo da ANPD, foi possível esclarecer melhor as colocações quanto a tais agentes, sanando dúvidas corriqueiras das partes envolvidas no tratamento.

Como defino minha condição de agente?

Segundo consta no Guia Orientativo, os agentes de tratamento devem ser definidos a partir de seu caráter institucional, ou seja, a partir de sua condição dentro da cadeia de tratamento dos dados pessoais é possível verificar qual instituição possui poder decisório sob o tratamento (Controlador) e qual é apenas um intermediador da operação em si (Operador).

É importante destacar que o caráter institucional do agente não se refere a sua condição de funcionário, servidor público ou equipes de trabalho de uma organização, ou seja, estas pessoas não são consideradas controladoras (autônomos ou conjuntos) nem operadoras, mas representantes do agente de tratamento em questão:

ANPD Próximos passos - Definição de Controlador e Operador lgpd

Quem é o Controlador? – Conceito em três partes

Como dito anteriormente, são controladoras as pessoas naturais ou jurídicas que atuarem de acordo com os próprios interesses, com poder decisório sobre as finalidades e os elementos de tratamento. Em outras palavras, o controlador poderá ser representado quando atendidos os três conceitos destacados abaixo:

ANPD Próximos passos - Definição de Controlador e Operador lgpd

É importante destacarmos que não são Controladoras as pessoas naturais que atuam como profissionais subordinadas a uma pessoa jurídica ou como membros de seus órgãos. 

Operador

São operadoras as pessoas naturais ou jurídicas que atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento, conforme indicado no quadro acima. É importante destacar que o operador é uma entidade distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

Mesmo possuindo uma relação de dependência com o controlador, no que tange ao atendimento do escopo do tratamento dos dados, o Operador também possui obrigações inerentes à sua condição, sendo elas:

  • Seguir Instruções do Controlador;
  • Firmar contratos que estabeleçam o regime de atividades e responsabilidades com o controlador;
  • Dar ciência ao controlador em caso de contratação de suboperador para compor a relação; e
  • Manter registro das operações de tratamento de dados, conforme artigo 37.

Fique atento aos proximos passos da ANPD, principalmente quanto às definições dos agentes de tratamento incorporadas junto ao Guia. Nos proximos artigos, dispostos neste blog, traremos os conceitos de suboperador e controladoria conjunta, elementos discorridos no presente Guia, incorporados da General Data Protection Regulation (GDPR).