No dia 8 de abril de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) praticou um ato típico da figura de agente de tratamento, ao nomear um encarregado pela proteção de dados pessoais (ou DPO)1. Conforme previsto no artigo 5º, VIII, LGPD, caberá ao controlador ou operador a função de nomear o encarregado. A medida, trazida pela Portaria ANPD nº 28 de 2021, trouxe à tona um debate em torno da seguinte pergunta: pode a ANPD figurar como controladora? Tal questionamento se dá porque a ANPD é "órgão da administração pública federal, integrante da Presidência da República", que por sua natureza se constitui como ente despersonalizado, conforme previsão da lei 9.784/99 (art. 1º, § 2º, I). A princípio, estaria a ANPD excluída do conceito de controlador. Contudo, o ato de nomeação praticado está em harmonia com a IN SGD/ME 117/2020, expedida pela Secretaria de Governo Digital, vinculada ao Ministério da Economia, que estabelece que não apenas entidades, mas órgãos do Governo Federal devem indicar encarregado e adotar outras medidas de compliance à LGPD, como a adequação de políticas e diretrizes2. Considerando a validade da Instrução Normativa, pela teoria dos motivos determinantes é possível afirmar que a obrigação imposta se dá em razão de considerar os órgãos públicos controladores, ainda que entes despersonalizados, nos moldes trazidos pela Lei. Tal instrução já foi corroborada em publicação feita pela própria ANPD3, a quem compete zelar pela proteção dos dados pessoais e sanar dúvidas razoáveis.
Entendendo a controvérsia em torno do conceito, o art. 5º, VI da LGPD conceitua o controlador como a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais". Textualmente, não está prevista - ou proibida - a atribuição do status de controlador aos entes despersonalizados, haja vista a menção apenas à pessoa natural ou jurídica. O ideal seria uma mudança advinda pela via legislativa que incluísse tais entes como controladores. Contudo, considerando que o Direito não pode silenciar diante de norma lacunosa ou de dúvidas, é necessário buscar respostas por meio da interpretação teleológica e sistemática. Pode-se considerar, por exemplo, que o artigo 55 - J, XX da LGPD, permite à ANPD a realização desta função interpretativa, ao estatuir que caberá à ANPD "deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos". O presente artigo levantará a possibilidade de reconhecimento de entes despersonalizados como controladores, com especial atenção aos condomínios.
O primeiro argumento tem vínculo com o principal objetivo da LGPD: a proteção da pessoa natural, titular de dados pessoais4. Tomando por base apenas órgãos públicos e condomínios, é nítida a afirmação de que lidam com volume razoável de dados pessoais em frequência diária. Basta verificar que dados pessoais são todas as informações que tornam a pessoa natural identificada ou identificável para perceber que as operações estão presentes no cotidiano de órgãos públicos de todas as esferas e poderes, mas também em condomínios residenciais e comerciais, independentemente de sua constituição como pessoa jurídica.
Por exemplo, quanto aos órgãos públicos, podem ser englobadas categorias que envolvem desde contribuintes e administrados a jurisdicionados e assistidos. Nos condomínios, por sua vez, os titulares podem ser agrupados em diversas categorias, desde proprietários e locatários a colaboradores, entregadores e visitantes. Da mesma forma, os dados tratados podem ser desde os mais comuns (nome completo, CPF etc.) até dados sensíveis (biometria, filiação sindical etc.).
Enfim, todos esses dados – e respectivos titulares – estariam desprotegidos em caso de negativa da possibilidade de enquadrar entes despersonalizados no conceito de controlador, em lesão direta ao caráter protetivo da LGPD. Foi essa preocupação, aliás, que levou à edição da mencionada Instrução Normativa. O Diretor do Departamento de Governança de Dados e Informações da Secretaria de Governo Digital afirmou que "a LGPD foi uma conquista da sociedade brasileira e a sua implementação é um desafio para todos nós, tanto do setor público quanto do privado". Se existe tal preocupação com órgãos públicos, com o condomínio deve ser ainda maior, já que o descumprimento de medidas de adequação por aqueles órgãos poderia levar a eventual responsabilidade das entidades jurídicas autônomas a que se vinculam, enquanto no condomínio tal medida restaria muito mais dificultada, ao exigir a persecução de todos os proprietários de unidades autônomas, por exemplo.
Ilustrando, se uma escola municipal trata dados de maneira inadequada e os torna vulneráveis a incidentes, há possibilidade de exigir adequação ou eventual reparação ao Município correspondente. Entretanto, se um condomínio tratar dados pessoais de maneira inadequada e não puder ser caracterizado como controlador, a quem seriam impostos os deveres legais e as boas práticas aptas a evitar a violação de direitos dos titulares de dados? Ainda, quem responderia perante a ANPD e autoridades judiciárias no caso de violações causadas? O argumento de que a responsabilidade civil fora dos termos da LGPD poderia eventualmente abarcar tais situações é possível, mas escaparia ao próprio fundamento de criação de uma lei voltada especificamente à proteção de dados e à privacidade que, ao vigorar, já demonstra a insuficiência dos instrumentos anteriormente previstos para a adequada tutela dos direitos fundamentais à privacidade e proteção de dados.
O art. 4º, I da LGPD, por sua vez, estabelece que o tratamento realizado somente pela pessoa natural para fins particulares e não econômicos não está sujeito aos moldes da Lei, não mencionando a pessoa jurídica e os entes despersonalizados. Por se tratar de norma de exceção, deve sofrer interpretação restritiva. Quando quis excepcionar a regra, o legislador o fez expressamente, tanto que não restringiu os demais incisos à categoria das pessoas naturais. Em entendimento semelhante, a Autoridade de Proteção de Dados da Finlândia (Tietosuojavaltuutettu) atribuiu à comunidade religiosa das Testemunhas de Jeová a controladoria de dados pessoais coletados nas pregações feitas porta a porta – dados simples, como nome e telefone. O caráter pessoal do tratamento foi restringido, com base no GDPR, sob o argumento de que uma operação de tratamento de dados pessoais não pode ser considerada puramente pessoal quando o objetivo é tornar os dados coletados acessíveis a espaço que exceda a figura da pessoa natural que o coleta (no caso do condomínio, esse fim é evidente). Considerando que pequenas associações de bairro podem ser controladoras, nos termos da LGPD, seria desarrazoado imaginar que condomínios, que podem ter estrutura mais robusta e acessos mais frequentes aos dados, estariam isentos.
O segundo argumento é o de que o ordenamento jurídico e a jurisprudência já reconhecem, por ficção jurídica, algumas capacidades ao condomínio, como a de figurar como consumidor, contribuinte ou parte em processo. Ademais, o condomínio possui patrimônio próprio, destacado, configurando-se como centro de imputação de obrigações. Tais admissões se dão por necessidade fática de abarcar tais entes despersonalizados para determinados fins. Um destaque feito é para a capacidade de estar em juízo, já atribuída aos condomínios. Isso ocorre porque o enunciado normativo é expresso ao afirmar que somente a pessoa (leia-se: natural ou jurídica) é titular de tal capacidade. Vejamos o art. 70 do CPC: “toda pessoa que se encontre no exercício de seus direitos tem capacidade para estar em juízo”. Essa previsão não engloba, ipsis literis, o ente despersonalizado, mas a jurisprudência tem sido uníssona ao admitir a capacidade do condomínio estar em juízo, como autor ou réu5.
No caso da LGPD, também haveria necessidade fática de reconhecimento, ainda que por ficção jurídica, da capacidade de condomínio figurar como controlador para a tutela do titular de dados, de maneira preventiva – impondo o dever de adequação – ou, quando for o caso, atribuindo a apenas um ente a possibilidade de responder administrativa e civilmente, evitando que o titular do direito violado tivesse que buscar os proprietários das unidades autônomas individualmente, o que tornaria o exercício de direitos inviável.
Todas as reflexões levam à conclusão de que deve ser racionalizada e estruturada a possibilidade de entes despersonalizados figurarem como controladores, notadamente os condomínios, inclusive com a possibilidade de eventual regime diferenciado que adeque os deveres e responsabilidades impostos pela LGPD às estruturas de cada um.
*Caitlin Mulholland é professora do Departamento de Direito da PUC-Rio. Associada do IAPD. Coordenadora do Grupo de Pesquisa DROIT - Direito e Novas Tecnologias. Doutora em Direito Civil (UERJ).
**Carlos Eduardo Ferreira de Souza é advogado na área de Proteção de Dados e Regulatório de Novas Tecnologias no Lima=Feigelson Advogados. Mestrando em Teoria do Estado e Direito Constitucional pela PUC-RIO.
__________
1 Nos termos do art. 5º, VIII da LGPD: "VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);" (Grifo nosso).
2 BRASIL. Instrução Normativa nº 117, de 19 de novembro de 2020, da Secretaria de Governo Digital, vinculada ao Ministério da Economia. Dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional.
3 BRASIL. Órgãos devem indicar responsável por tratamento de dados pessoais nas instituições da Administração Pública, da Autoridade Nacional de Proteção de Dados. Publicada em: 02/12/2020. Disponível aqui. Acesso em 16/04/2021.
4 Tal objetivo é expresso no art. 1º da LGPD: "Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural." (Grifo nosso)
5 Vide por todos: AgInt no AREsp 1.550.993/RJ; AREsp 402.826-GO; AI 220.492/DF.