Entes despersonalizados e sua função como controlador na LGPD

Migalhas de IA e Proteção de Dados

No dia 8 de abril de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) praticou um ato típico da figura de agente de tratamento, ao nomear um encarregado pela proteção de dados pessoais (ou DPO)¹. Conforme previsto no artigo 5º, VIII, LGPD, caberá ao controlador ou operador a função de nomear o encarregado. A medida, trazida pela Portaria ANPD nº 28 de 2021, trouxe à tona um debate em torno da seguinte pergunta: pode a ANPD figurar como controladora? Tal questionamento se dá porque a ANPD é "órgão da administração pública federal, integrante da Presidência da República", que por sua natureza se constitui como ente despersonalizado, conforme previsão da lei 9.784/99 (art. 1º, § 2º, I). A princípio, estaria a ANPD excluída do conceito de controlador. Contudo, o ato de nomeação praticado está em harmonia com a IN SGD/ME 117/2020, expedida pela Secretaria de Governo Digital, vinculada ao Ministério da Economia, que estabelece que não apenas entidades, mas órgãos do Governo Federal devem indicar encarregado e adotar outras medidas de compliance à LGPD, como a adequação de políticas e diretrizes². Considerando a validade da Instrução Normativa, pela teoria dos motivos determinantes é possível afirmar que a obrigação imposta se dá em razão de considerar os órgãos públicos controladores, ainda que entes despersonalizados, nos moldes trazidos pela Lei. Tal instrução já foi corroborada em publicação feita pela própria ANPD³, a quem compete zelar pela proteção dos dados pessoais e sanar dúvidas razoáveis.

Entendendo a controvérsia em torno do conceito, o art. 5º, VI da LGPD conceitua o controlador como a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais". Textualmente, não está prevista - ou proibida - a atribuição do status de controlador aos entes despersonalizados, haja vista a menção apenas à pessoa natural ou jurídica. O ideal seria uma mudança advinda pela via legislativa que incluísse tais entes como controladores. Contudo, considerando que o Direito não pode silenciar diante de norma lacunosa ou de dúvidas, é necessário buscar respostas por meio da interpretação teleológica e sistemática. Pode-se considerar, por exemplo, que o artigo 55 - J, XX da LGPD, permite à ANPD a realização desta função interpretativa, ao estatuir que caberá à ANPD "deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos". O presente artigo levantará a possibilidade de reconhecimento de entes despersonalizados como controladores, com especial atenção aos condomínios.

O primeiro argumento tem vínculo com o principal objetivo da LGPD: a proteção da pessoa natural, titular de dados pessoais⁴. Tomando por base apenas órgãos públicos e condomínios, é nítida a afirmação de que lidam com volume razoável de dados pessoais em frequência diária. Basta verificar que dados pessoais são todas as informações que tornam a pessoa natural identificada ou identificável para perceber que as operações estão presentes no cotidiano de órgãos públicos de todas as esferas e poderes, mas também em condomínios residenciais e comerciais, independentemente de sua constituição como pessoa jurídica.

Por exemplo, quanto aos órgãos públicos, podem ser englobadas categorias que envolvem desde contribuintes e administrados a jurisdicionados e assistidos. Nos condomínios, por sua vez, os titulares podem ser agrupados em diversas categorias, desde proprietários e locatários a colaboradores, entregadores e visitantes. Da mesma forma, os dados tratados podem ser desde os mais comuns (nome completo, CPF etc.) até dados sensíveis (biometria, filiação sindical etc.).

Enfim, todos esses dados - e respectivos titulares - estariam desprotegidos em caso de negativa da possibilidade de enquadrar entes despersonalizados no conceito de controlador, em lesão direta ao caráter protetivo da LGPD. Foi essa preocupação, aliás, que levou à edição da mencionada Instrução Normativa. O Diretor do Departamento de Governança de Dados e Informações da Secretaria de Governo Digital afirmou que "a LGPD foi uma conquista da sociedade brasileira e a sua implementação é um desafio para todos nós, tanto do setor público quanto do privado". Se existe tal preocupação com órgãos públicos, com o condomínio deve ser ainda maior, já que o descumprimento de medidas de adequação por aqueles órgãos poderia levar a eventual responsabilidade das entidades jurídicas autônomas a que se vinculam, enquanto no condomínio tal medida restaria muito mais dificultada, ao exigir a persecução de todos os proprietários de unidades autônomas, por exemplo.

Ilustrando, se uma escola municipal trata dados de maneira inadequada e os torna vulneráveis a incidentes, há possibilidade de exigir adequação ou eventual reparação ao Município correspondente. Entretanto, se um condomínio tratar dados pessoais de maneira inadequada e não puder ser caracterizado como controlador, a quem seriam impostos os deveres legais e as boas práticas aptas a evitar a violação de direitos dos titulares de dados? Ainda, quem responderia perante a ANPD e autoridades judiciárias no caso de violações causadas? O argumento de que a responsabilidade civil fora dos termos da LGPD poderia eventualmente abarcar tais situações é possível, mas escaparia ao próprio fundamento de criação de uma lei voltada especificamente à proteção de dados e à privacidade que, ao vigorar, já demonstra a insuficiência dos instrumentos anteriormente previstos para a adequada tutela dos direitos fundamentais à privacidade e proteção de dados.

O art. 4º, I da LGPD, por sua vez, estabelece que o tratamento realizado somente pela pessoa natural para fins particulares e não econômicos não está sujeito aos moldes da Lei, não mencionando a pessoa jurídica e os entes despersonalizados. Por se tratar de norma de exceção, deve sofrer interpretação restritiva. Quando quis excepcionar a regra, o legislador o fez expressamente, tanto que não restringiu os demais incisos à categoria das pessoas naturais. Em entendimento semelhante, a Autoridade de Proteção de Dados da Finlândia (Tietosuojavaltuutettu) atribuiu à comunidade religiosa das Testemunhas de Jeová a controladoria de dados pessoais coletados nas pregações feitas porta a porta - dados simples, como nome e telefone. O caráter pessoal do tratamento foi restringido, com base no GDPR, sob o argumento de que uma operação de tratamento de dados pessoais não pode ser considerada puramente pessoal quando o objetivo é tornar os dados coletados acessíveis a espaço que exceda a figura da pessoa natural que o coleta (no caso do condomínio, esse fim é evidente). Considerando que pequenas associações de bairro podem ser controladoras, nos termos da LGPD, seria desarrazoado imaginar que condomínios, que podem ter estrutura mais robusta e acessos mais frequentes aos dados, estariam isentos.

O segundo argumento é o de que o ordenamento jurídico e a jurisprudência já reconhecem, por ficção jurídica, algumas capacidades ao condomínio, como a de figurar como consumidor, contribuinte ou parte em processo. Ademais, o condomínio possui patrimônio próprio, destacado, configurando-se como centro de imputação de obrigações. Tais admissões se dão por necessidade fática de abarcar tais entes despersonalizados para determinados fins. Um destaque feito é para a capacidade de estar em juízo, já atribuída aos condomínios. Isso ocorre porque o enunciado normativo é expresso ao afirmar que somente a pessoa (leia-se: natural ou jurídica) é titular de tal capacidade. Vejamos o art. 70 do CPC: "toda pessoa que se encontre no exercício de seus direitos tem capacidade para estar em juízo". Essa previsão não engloba, ipsis literis, o ente despersonalizado, mas a jurisprudência tem sido uníssona ao admitir a capacidade do condomínio estar em juízo, como autor ou réu⁵.

No caso da LGPD, também haveria necessidade fática de reconhecimento, ainda que por ficção jurídica, da capacidade de condomínio figurar como controlador para a tutela do titular de dados, de maneira preventiva - impondo o dever de adequação - ou, quando for o caso, atribuindo a apenas um ente a possibilidade de responder administrativa e civilmente, evitando que o titular do direito violado tivesse que buscar os proprietários das unidades autônomas individualmente, o que tornaria o exercício de direitos inviável.

Todas as reflexões levam à conclusão de que deve ser racionalizada e estruturada a possibilidade de entes despersonalizados figurarem como controladores, notadamente os condomínios, inclusive com a possibilidade de eventual regime diferenciado que adeque os deveres e responsabilidades impostos pela LGPD às estruturas de cada um.

*Caitlin Mulholland é professora do Departamento de Direito da PUC-Rio. Associada do IAPD. Coordenadora do Grupo de Pesquisa DROIT - Direito e Novas Tecnologias. Doutora em Direito Civil (UERJ).

**Carlos Eduardo Ferreira de Souza é advogado na área de Proteção de Dados e Regulatório de Novas Tecnologias no Lima=Feigelson Advogados. Mestrando em Teoria do Estado e Direito Constitucional pela PUC-RIO.

__________

1 Nos termos do art. 5º, VIII da LGPD: "VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);" (Grifo nosso).

2 BRASIL. Instrução Normativa nº 117, de 19 de novembro de 2020, da Secretaria de Governo Digital, vinculada ao Ministério da Economia. Dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional.

3 BRASIL. Órgãos devem indicar responsável por tratamento de dados pessoais nas instituições da Administração Pública, da Autoridade Nacional de Proteção de Dados. Publicada em: 02/12/2020. Disponível aqui. Acesso em 16/04/2021.

4 Tal objetivo é expresso no art. 1º da LGPD: "Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural." (Grifo nosso)

5 Vide por todos: AgInt no AREsp 1.550.993/RJ; AREsp 402.826-GO; AI 220.492/DF.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de IA e Proteção de Dados

Entes despersonalizados e sua função como controlador na Lei Geral de Proteção de Dados Pessoais