ANPD define que funcionário e servidor não são agentes de tratamento de dados pessoais

"De acordo com a LGPD, eu sou um operador de dados?" Essa era uma dúvida contumaz dos funcionários e servidores de organizações públicas e privadas. A Autoridade Nacional de Proteção de Dados- ANPD, ciente dessa das diversas discussões e interpretações que a Lei Geral de Proteção de Dados Pessoais (LGPD) incitava, publicou, no último dia 27 de maio, o seu primeiro Guia Orientativo, definindo claramente as atribuições dos agentes de tratamento - controlador e operador - e o papel do encarregado de dados. O documento, intitulado Guia Orientativo para Definições de Agentes de Tratamento de Dados Pessoais e do Encarregado¹, está disponível na página web da ANPD.

Esse guia traz importantes definições para esclarecer o papel dos funcionários e servidores à luz da LGPD, preenchendo lacunas que davam margem a interpretações diversas e consequente insegurança jurídica sobre as atribuições de todos os envolvidos no processo de tratamento de dados pessoais. A ANPD busca, com esse guia, exercer o seu papel de regulamentação e enforcement da LGPD. O guia está sujeito a atualizações, uma vez que, segundo a própria ANPD, está aberto a comentários e contribuições por parte da sociedade em geral.

Agentes de tratamento, por definição, são aqueles que exercem o papel de controlador ou operador de dados pessoais. Pela LGPD, os agentes podem ser pessoas naturais ou jurídicas, de direito público ou privado. Até aqui, tudo como está na letra da lei. Mas e os funcionários e servidores públicos, podem ser considerados controladores ou operadores?

Para demonstrar a variedade de interpretações, vamos citar dois exemplos. O Ministério Público do Estado do Rio Grande do Sul definiu por meio Provimento 68/20² que todos os seus membros, servidores e estagiários são considerados operadores de dados pessoais³. O Tribunal de Justiça do Distrito Federal e dos Territórios e definiu por meio da Resolução 09 de 2 de setembro de 20⁴ que o seu presidente é controlador e que os vice-presidentes e o corregedor são "controladores-adjuntos". Além disso, definiu todos os servidores e terceirizados são operadores⁵. O TJDFT chegou a classificar os operadores em 3 níveis⁶, com estabelecimento de revisão do fluxo de tratamento entre esses níveis de operador.

1. Afinal, funcionário ou servidor são operadores?

Pessoas naturais podem ser agentes de tratamento - operadoras ou controladoras. Segundo o guia, pessoas naturais são controladores quando agirem "de acordo com os próprios interesses, com poder de decisão sobre as finalidades e elementos essenciais de tratamento". Pessoas naturais serão operadoras quando "atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento". Por exemplo, médicos ou advogados, como profissionais liberais, que lidam com informações pessoais de pacientes ou clientes, estão atuando como controladores e como operadores ao tratarem tais dados pessoais.

Destaca-se que a principal diferença entre controlador e operador é o poder de decisão que compete ao primeiro.

Segundo o guia divulgado pela ANPD, "não são considerados controladores ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento". Eles atuarão mediante subordinação às decisões do controlador.

2. Diferenças básicas entre Controlador e Operador

O controlador também pode fazer tratamento de dados pessoais. A diferença do controlador para o operador é o poder de decisão que o controlador possui. E esse poder de decisão permite que ele contrate um operador para realizar o tratamento em seu nome.

Outro ponto que restou esclarecido pelo Guia é a "desnecessidade de que todas as decisões sejam tomadas pelo controlador". A ANPD definiu que o controlador deve definir somente as principais decisões sobre o tratamento de dados, chamadas de elementos essenciais para o cumprimento da finalidade do tratamento. Um desses elementos essenciais é a definição da finalidade do tratamento dos dados, incluindo os objetivos e base legal do tratamento.

O Guia destaca algumas atribuições do operador: "(i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contratação de suboperador."

Aqui cabe um destaque em relação ao estabelecimento de relação contratual entre o controlador e o operador. A ANPD recomenda como boa prática que seja feito um contrato entre o controlador e o operador, limitando expressamente a atuação do operador às diretrizes do controlador, definindo objeto, duração, natureza e finalidade do tratamento de dados, tipos de dados envolvidos, obrigações das partes e fixando parâmetros objetivos em relação às responsabilidades de cada parte,

O operador, em caso de pessoa jurídica, é a organização em si. Os seus funcionários são apenas seus subordinados ou representantes. Assim, "empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta não devem ser considerados operadores". O operador será sempre uma pessoa distinta do controlador,

Em relação ao papel de operador, o Guia traz o conceito de suboperador, que é "aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador". Embora a relação direta do suboperador seja com o operador - o que deve ser formalizado em ajuste próprio -, é importante que o controlador dê sua autorização formal e até contratual, uma vez que este é quem tem o poder de decisão sobre o tratamento de dados. O suboperador, assim como o operador, também tem responsabilidades e deve responder por elas perante a ANPD.

Outro conceito trazido pelo Guia refere-se à possibilidade de o cenário envolver mais de um controlador, que tomarão decisões em conjunto, especialmente quanto à finalidade do tratamento de um mesmo conjunto de dados. Neste caso, os controladores envolvidos responderão de forma solidária perante a ANPD, de acordo com a LGPD, art. 42, §1º, II. Com base na regulamentação europeia - General Data Protection Regulament (GDPR) - a ANPD definiu que a controladoria conjunta como "a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD".

3. Considerações Finais

Uma das funções da ANPD é a orientação e regulamentação de pontos indefinidos da LGPD, que podem dar margem a interpretações conflituosas. Com o Guia Orientativo recém-publicado, a Autoridade brasileira avança nessa direção, iniciando por esclarecer um ponto que têm sido alvo de calorosos debates na sociedade civil. Contudo, a responsabilidade pela proteção de dados pessoais não se resume aos atores conceituados na LGPD - controlador, operador e encarregado. O fato de o funcionário ou servidor não serem enquadrados como agentes de tratamento não os isenta da responsabilidade de zelar pela proteção dos dados pessoais com os quais eles trabalham. O mais importante é que todos criem uma cultura de proteção de dados, aprimorando um olhar clínico para identificar os limites de sua atuação dentro de suas atribuições e de acordo com as diretrizes do controlador. Todos devem ter em mente os princípios da LGPD, especialmente a finalidade, adequação e necessidade. E tudo isso, guiado pelo princípio universal da boa-fé.