Agentes de Tratamento e Encarregado

última modificação: 2023-01-27T14:06:43-03:00

Agentes de Tratamento, papéis e responsabilidades

Segundo a LGPD, os agentes de tratamento são o Controlador e o Operador.

Controlador

O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Ainda quanto ao Controlador, a LGPD dispõe:

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.


No TJDFT, segundo a Resolução 9 de 02/09/2020, com alterações promovidas pela Portaria Conjunta 21 de 04/03/2022, o Controlador é pessoa jurídica de direito público interno a quem compete definir as principais ações relativas ao tratamento dos dados pessoais.


Operador

Pela LGPD (Art. 5º, VII) operador é toda pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e ainda:

Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

No TJDFT, também de acordo com a Resolução 9 de 02/09/2020, o Operador é pessoa física ou jurídica que realiza o tratamento em nome do controlador, em todas as instâncias da instituição ou no âmbito de contratos ou instrumentos congêneres firmados com ele.

Questões comuns aos agentes de tratamento

Existem questões que são comuns aos agentes de tratamento conforme dispõe a LGPD:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
(…)
Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

Para atender ao Princípio da Transparência, os agentes de tratamento devem garantir aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Ainda que haja eventual dispensa da exigência do consentimento, tal fato não desobriga os agentes de tratamento das demais obrigações previstas na LGPD, especialmente da observância dos princípios gerais e da garantia dos direitos do titular r (Art. 7º, §6º). .


Responsabilização dos agentes de tratamento

Quanto à responsabilização dos agentes de tratamento, a LGPD considera da seguinte forma o tratamento irregular de dados pessoais

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.


No mesmo artigo, a Lei ainda determina que os agentes de tratamento responderão pelos danos decorrentes da violação da segurança dos dados dos titulares da seguinte forma:

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.

O referido Art. 46 aborda aspectos relacionados à segurança e indica boas práticas voltadas garantia do sigilo dos dados, como se segue:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das
informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Nos casos em que haja dano provocado pelos agentes de tratamento no exercício de suas atividades, a LGPD preceitua:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.

Nos casos em que as relações entre os agentes de tratamento e titulares de dados sejam de consumo, a LGPD prevê que a legislação consumerista deve prevalecer, como se segue:

Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.

E, ainda no tocante à Legislação Consumerista, haverá a possibilidade de responsabilização objetiva do controlador e/ou operador, além da inversão do ônus da prova.

No âmbito dos órgãos públicos, havendo infração a LGPD, esta lei prevê algumas ações que poderão ser adotadas, como as seguintes:

Art. 31. Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.
Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.
(...)

Existem todavia, hipóteses em que os agentes de tratamento não serão responsabilizados quando houver descumprimento à LGPD :

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Encarregado

Segundo define a LGPD (Art. 5º, VIII), o encarregado é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Segundo a LGPD, Art. 41, §2º, o encarregado exerce as seguintes atividades:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

De acordo com o § 3º do mesmo dispositivo, a autoridade nacional ainda poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados (LGPD, Art. 41, § 3º).

O encarregado será o responsável em manter relacionamento com a ANPD, disseminando orientações daquela Autoridade a toda a estrutura funcional, desde o controlador, operadores, servidores, e contratados, realizando também as comunicações necessárias com os titulares, recebendo reclamações, prestando esclarecimentos, e adotando providências.

Todas as operações de tratamento de dados devem ser do conhecimento do encarregado, para que este compreenda as necessidades, riscos e desafios existentes no âmbito da instituição, no que tange à proteção de dados.

Internamente, as competências do encarregado encontram-se assim definidas na Resolução 9 de 02/09/2020.

Art. 13. Compete ao Encarregado:
I – ser o canal de comunicação entre a instituição e:
a) o titular de dados pessoais;
b) a Autoridade Nacional de Proteção de Dados Pessoais.
II – prestar esclarecimentos, realizar comunicações, orientar operadores e contratados sobre as práticas tomadas ou a serem tomadas para garantir a proteção dos dados pessoais;
III – determinar a publicidade da dispensa de consentimento para o tratamento de dados pessoais no Tribunal, em conformidade com o previsto na LGPD;
IV – executar as atribuições a si determinadas pelo Controlador;
V – receber as reclamações dos titulares quanto ao tratamento de seus dados, respondê-las e tomar providências para que sejam sanados os desvios;
VI – deter amplo e sólido conhecimento sobre a legislação de proteção de dados pessoais e normas correlatas;
VII – deter conhecimentos técnicos sobre segurança e governança de dados;
VIII – realizar o atendimento dos titulares de dados pessoais internos e externos à instituição;
IX – manter a comunicação sobre o tratamento de dados pessoais com as autoridades internas e externas à instituição;
X – apoiar a implementação e a manutenção de práticas de conformidade do Tribunal à legislação sobre o tratamento de dados pessoais;
XI – estabelecer campanhas educativas no órgão sobre o tratamento de dados pessoais;
XII – responder incidentes no tratamento de dados pessoais.

A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador (LGPD, Art. 41, §1º).

No TJDFT, a função de Encarregado será exercida por um comitê, e caberá ao seu Presidente representá-lo perante o Controlador e a Autoridade Nacional de Proteção de Dados.

A Portaria GPR 1341 de 21/07/2022 designou como presidente do Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais - CGSI, o Excelentíssimo Juiz Caio Brucoli Sembongi.

Como se vê, o encarregado é um guardião dos dados pessoais tratados pela instituição, equilibrando os interesses dos titulares com as determinações do controlador, consideradas as balizas legais e orientações emanadas da ANPD, disseminando ainda o conhecimento do tema a todos os envolvidos nesses tratamentos.