A LGPD é instrumentalizada por cinco atores:

(i) o principal deles, o titular dos dados pessoais;
(ii) o controlador;
(iii) o operador de dados;
(iv) o encarregado; e,
(v) a Autoridade Nacional de Proteção de Dados (“ANPD”).

O controlador e o operador, em conjunto, são considerados os “agentes de tratamento”. Esses atores vão, de alguma forma, se interagir nas diversas etapas do tratamento de dados. O objetivo deste artigo é identificar cada um desses personagens, a partir da definição legal trazida pela própria LGPD, sem a pretensão de esgotar o assunto.

I – Titular dos dados pessoais

O titular dos dados pessoais é, por excelência, o principal personagem. É em seu benefício que são estabelecidos os princípios e garantias da LGPD. Segundo o artigo 5º, V, titular dos dados é “a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. A proteção conferida pela LGPD é voltada, portanto, para as pessoas físicas, não alcançando os dados das pessoas jurídicas e compreende aqueles dados que possam identificar ou tornar identificável uma pessoa.

II – Controlador

O controlador, conforme o disposto no art. 5º., VI, é “a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. O controlador é, portanto, o agente responsável pela definição dos elementos essenciais para a realização do tratamento de dados (finalidade, base legal, natureza dos dados coletados e duração do tratamento).

O que caracteriza, pois, a figura do controlador é o poder de decisão, de forma que não podem ser considerados como “controladores” os indivíduos que simplesmente atuem como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos (empregados, administradores, sócios, servidores, etc.), vez que não possuem autonomia para decidir sobre tratamento de dados.

III – Operador

O operador, de seu turno, é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (art. 5º., inc. X).

Portanto, por definição, operador é aquele responsável pela realização do tratamento de dados em nome do controlador e sob as diretrizes por ele determinadas, ou seja, sem o poder de decisão sobre os elementos essenciais do tratamento.

Ainda que atue no limite das determinações do controlador, o operador também não deve ser confundido com empregados, administradores, sócios ou servidores do controlador, pois o operador será sempre uma pessoa distinta do controlador, vale dizer, que não atue sob seu poder diretivo.

A título exemplificativo: quando uma organização compartilha dados pessoais de seus funcionários com uma empresa de plano de saúde – com a finalidade exclusiva de contratação de plano ou seguro saúde para os seus funcionários -, ela está atuando como controladora e a seguradora, nesta hipótese, como operadora. Em relação aos dados de seus próprios funcionários, a seguradora será a controladora.

A importância de se identificar corretamente os agentes de tratamento diz com as competências, atribuições e responsabilidades específicas que cada um assume na LGPD.

Em que pese detenha o controlador as principais obrigações e responsabilidades, o operador pode ser responsabilizado por danos causados em razão do tratamento irregular de dados, em caso de descumprimento das obrigações legais ou inobservância das instruções do controlador.

Em conclusão: o tratamento de dados não é, necessariamente, realizado direta e exclusivamente pelo controlador. Embora o controlador também tenha essa atribuição, o elemento que o distingue, com dito acima, é o poder decisão, sendo possível que o controlador estabeleça diretrizes para que um terceiro – o operador – realize o tratamento em seu nome.

IV – Encarregado

Segundo o disposto no art. 41, caput, da LGPD, o controlador deve indicar um encarregado, que é, segundo a definição do art. 5º, VIII, a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

As atribuições do encarregado, todavia, não se limitam a apenas fazer a interface entre os demais atores da LGDP. Para o pleno exercício da função, é essencial que ele (i) tenha pleno conhecimento do fluxo de dados dentro de uma organização; (ii) coordene a implantação e manutenção do sistema de gestão de dados pessoais; (iii) assegure que o tratamento realizado esteja em conformidade com a lei; e, (iv) tenha competência para responder a terceiros (titulares de dados e ANPD, especialmente), sobre os diversos aspectos desse tratamento (finalidade, base legal, segurança, etc.).

A lei não estabelece requisitos objetivos para o cargo de encarregado, também conhecido como DPO (Data Protection Officer). A regulamentação dessa função – como de resto, de toda a LGPD – ficou a cargo da ANPD que pode, inclusive, dispensar a nomeação do encarregado em determinadas situações. Em princípio, o encarregado pode ser uma pessoa física ou jurídica, um funcionário da organização ou um agente externo. Também não se exige nenhuma qualificação profissional específica.

Recomenda-se, como boa prática, que o encarregado seja indicado por um ato formal, que tenha autonomia na realização de suas atribuições e que tenha conhecimento adequado de proteção e segurança de dados que lhe permita executar suas atribuições de forma eficiente.

Dada a principal característica de sua atuação – interface entre os atores da LGDP – a identidade e as informações de contato do encarregado devem ser amplamente divulgadas, de forma clara e objetiva, como determina o art. 41, §1º.

V – ANPD

A Autoridade Nacional de Proteção de Dados (ANPD) é o “órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional” (art. 5º, XIX).

Dentre as principais funções atribuídas à ANPD, destaca-se: (i) zelar pela proteção dos dados pessoais, nos termos da lei; (ii) elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; (iii) fiscalizar e aplicar sanções em caso de violação da lei; (iv) editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade.

Dotada de autonomia técnica e decisória, a ANPD foi criada pela Lei 13.853 de 08 de julho de 2019 e sua estrutura foi definida pelo Decreto 10.474 de 26 de agosto de 2020. Além da divulgação de alguns guias orientativos, a ANPD ainda não exerceu a atividade mais relevante de que dela se espera: a regulamentação das disposições da LGPD.

Nos próximos periódicos, continuaremos a abordar outros aspectos da LGPD, tais como os princípios, bases legais, sanções, dentre outros.