lgpd série especial

O que são Dados pessoais

“Dados pessoais” é um termo que se refere a todo tipo de informações – identificada ou identificável – relacionadas a pessoas naturais. Todas as informações relacionadas aos clientes, parceiros ou fornecedores que atuem como pessoas físicas, funcionários e até de clientes dos clientes se caracterizam como “dados pessoais”.

Em termos práticos, os dados pessoais podem consistir em: (i) informações que identificam, por si só, o seu Titular, como o nome completo, endereço eletrônico, endereço físico e/ou o número de documentos pessoais (RG, CPF, CNH, etc.) ou; (ii) informações que, embora não possam identificar o Titular isoladamente, possam ser suplementadas ou cruzadas entre si a fim de possibilitar essa identificação, como endereço de IP, bairro, profissão, ocupação de um determinado cargo em uma determinada empresa, etc.

Os dados e informações exclusivamente referente a pessoas jurídicas (como CNPJ, endereço comercial, razão social e etc.) não são considerados dados pessoais para os fins da LGPD – ressalvando-se, por óbvio, os dados relacionados também aos sócios, diretores, administradores ou demais pessoas físicas que integrem a estrutura empresarial.

O que são Dados pessoais sensíveis

“Dados pessoais sensíveis”, segundo a definição da própria LGPD, são os dados pessoais que se relacionam especificamente com a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde ou vida sexual do titular, dado genético ou biométrico.

Percebe-se que o rol de dados sensíveis é composto por informações especialmente delicadas e significativas aos Titulares, razão pela qual recebem previsão diferenciada na LGPD (como um rol reduzido de hipóteses autorizadoras de tratamento e a possibilidade de exigência de apresentação de relatório de impactos relacionado à atividades que envolvam esses dados pessoais sensíveis), a fim de garantir uma maior segurança em atividades de tratamento que os envolvam.

No que consiste o Tratamento de Dados

O “tratamento” desses dados, por sua vez, implica em todo e qualquer tipo de operação que envolva dados pessoais, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Exemplificativamente, caracterizam operações de tratamento a coleta de informações de clientes, funcionários ou terceiros para fins de cadastro ou registro, armazenamento dessas informações em bancos de dados (físicos ou digitais) e acesso a esses dados para fins de elaboração de documentos, contatos com os titulares, envio de newsletters e demais operações semelhantes.
O “ciclo de vida” de um dado pessoal dentro de uma empresa, então, abrange desde a sua coleta, com a entrada do dado nos servidores e armazenamento nos bancos de dados da empresa, passando por todos os usos e atividades nos quais está envolvido, até o eventual arquivamento ou eliminação.

Qual a diferença entre Controlador e Operador na LGPD?

A definição do papel de Controlador de Dados Pessoais

Segundo o art. 5º, inciso VI, da LGPD, Controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.

Esta figura, portanto, se diferencia do papel do Controlador em razão do poder decisório que detém quanto ao tratamento de dados pessoais. Ao Controlador, competem as decisões essenciais a respeito dos procedimentos de tratamento de dados.

Em outras palavras, o Controlador é o agente responsável por determinar o propósito (finalidade) e o meio pelo qual se realizará o tratamento dos dados.

Assim, o Controlador é o responsável por definir que uma determinada atividade de tratamento de dados será realizada, bem como tomar as decisões sobre seus aspectos essenciais, como: quais dados serão coletados, qual a finalidade da atividade, qual será o tempo de armazenamento dos dados, quem terá acesso aos dados e qual será o público ou quem serão os indivíduos impactados pela atividade.

Embora o Controlador seja o responsável pela definição do propósito e do meio de realização do tratamento de dados, ele não necessariamente precisa executar o meio de tratamento, podendo delegar esta tarefa – hipótese da qual desponta a figura do Operador.

A definição do papel de Operador de Dados Pessoais

Nos termos do art. 5º, inciso VII, Operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

O Operador é, então, o agente que recebe as delegações do Controlador acerca do meio de tratamento dos dados. Assim, é um agente que pode executar o tratamento de dados em nome do Controlador, seguindo instruções emanadas por ele e vinculando-se a estas instruções, não possuindo autonomia ou ingerência sobre decisões essenciais relacionadas ao propósito da atividade de tratamento.

Faz-se a ressalva de que isso não significa que o Operador não possui qualquer autonomia na realização de suas funções. Pelo contrário, o Operador pode possuir certa discricionariedade para a tomada de decisões, desde que essas decisões se restrinjam ao aspecto operacional da atividade, jamais podendo tomar decisões de caráter essencial ou que impactem no propósito da atividade de tratamento de dados.

Destaque-se que o Operador é um agente separado do Controlador. É dizer que o fato de uma empresa estar segmentada em setores ou contar com funcionários autônomos/terceirizados não os torna automaticamente “operadores” dos sócios ou gerentes da própria empresa.

Os diversos setores e colaboradores de uma mesma empresa exercem o mesmo papel, atuando como um todo no papel de Controlador ou Operador, jamais segmentando-se o papel entre os setores/colaboradores, mas sim entre atividades.

Controlador x Operador – síntese das semelhanças e diferenças

Depreende-se de ambas as definições que ambas as figuras se assemelham no seguinte sentido: (i) ambos os papéis se tratam de agentes de tratamento de dados, isto é, responsáveis pela utilização/gerenciamento dos dados pessoais dos titulares e; (ii) podem ser exercidos tanto por pessoas físicas quanto pessoas jurídicas, de modo que o fato de as decisões serem tomadas ou operacionalizadas por pessoa física em nada interfere na sua caracterização como Controlador ou Operador.

Quanto às suas diferenças, depreende-se que os aspectos mais relevantes da realização da atividade competem ao Controlador, enquanto ao Operador caberiam decisões relacionadas ao meio e à forma de execução das atividades delegadas pelo Controlador (como, por exemplo, a escolha de um software mais seguro ou adequado para a realização do tratamento, um provedor de armazenamento em nuvem, qual plataforma de assinatura digital utilizar, etc.)

Note-se que as decisões dos exemplos mencionados não interferem significativamente na finalidade da atividade, mas apenas na forma de operacionalizar a ordem e as instruções dadas pelo Controlador ao Operador. Em suma, os agentes se diferenciam pelo poder decisório e, também, pela essencialidade das decisões que podem tomar, de modo que o Controlador possui grande liberalidade para a tomada de decisões, enquanto as decisões do Operador devem estar vinculadas ao propósito pré-definido pelo Controlador e se limitar ao âmbito de operacionalização da atividade.

Note-se, ainda, que na existência de múltiplas empresas atuando conjuntamente no tratamento de dados, se todos os agentes: (i) possuírem autonomia para decidir sobre pontos essenciais da atividade; (ii) possuírem interesse direto na realização do tratamento; (iii) possam decidir sobre aspectos relacionados aos propósitos do tratamento; ou (iv) detenham capacidade de criação, alteração e desenvolvimento de atividades de tratamento, não se fala mais na relação entre Controladores e Operadores, mas sim na multiplicidade de Controladores, respondendo solidariamente perante os titulares nos casos de incidentes danosos.

Por fim, mostra-se importante destacar que uma empresa pode ser, simultaneamente, Controladora e Operadora de dados, a depender da atividade realizada e do contexto de análise. Exemplificativamente, é possível que a empresa seja tida como Controladora dos dados de seus colaboradores, enquanto atua como Operadora dos dados fornecidos por clientes para quem presta serviços.

Qual o papel do Encarregado (DPO) na LGPD?

Além das figuras dos “agentes de tratamento” – isto é, o Controlador e o Operador de dados pessoais –, a LGPD traz, ainda, a figura do Encarregado (também conhecido como Data Protection Officer ou DPO), que é uma pessoa – física ou jurídica – ou comissão indicada pelos agentes de tratamento para atuar como o canal de comunicação entre os agentes, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD – órgão responsável por zelar pela proteção de dados pessoais no Brasil, garantir a aplicação e fiscalizar o cumprimento da LGPD).

É ele o responsável por colher demandas, reclamações e comunicações dos titulares e da ANPD, prestar os devidos esclarecimentos, orientar os agentes para que sejam tomadas as providências cabíveis, garantir a observância da LGPD e das medidas de segurança de dados implementadas, orientar funcionários e parceiros a respeito dos procedimentos e cuidados necessários e lidar com eventuais incidentes de segurança e vazamento de dados, orientando as ações dos agentes no sentido de cumprir com um plano de ação pertinente.

Como visto, embora não seja um “agente de tratamento” propriamente dito, o Encarregado desempenha um papel fundamental nas atividades de tratamento, integrando a equipe dos Controladores e Operadores e fazendo valer a LGPD no âmbito de cada empresa. É, portanto, uma peça chave para todas as questões que envolvam tratamento e proteção de dados, bem como na implementação, validação e aplicação dos projetos de conformidade à LGPD dentro das empresas.

A contratação de um Encarregado (DPO)

Por servir como meio de comunicação com as autoridades de proteção de dados e os próprios titulares, além de servir como um dos líderes de implementação da LGPD no âmbito interno da empresa, a contratação de um encarregado capacitado deve ser um dos grandes pontos de atenção nos processos de conformidade.

Inicialmente, vale destacar que o ideal é que o Encarregado seja escolhido antes ou durante o processo de formatação e implementação do projeto de adequação à LGPD, para que possa auxiliar no seu desenvolvimento e implementação prática na empresa.

Em geral, é preferível prezar pela proximidade, privilegiando pessoas (físicas ou jurídicas) ou comissões integradas por membros da equipe que conheçam, com certa intimidade, a realidade prática da empresa, isto é, seus processos internos, como é o fluxo de dados ao longo dos setores, como, por quem e com qual finalidade as atividades são desenvolvidas. Quanto maior a familiaridade do Encarregado com as nuances da empresa, mais rápidas e assertivas serão suas respostas sempre que for solicitado e, consequentemente, melhor será o desempenho de sua função.

Outro aspecto relevante na contratação de um Encarregado é a busca por alguém que detenha conhecimentos interdisciplinares. Ainda que o DPO não precise possuir expertise extrema em todas as áreas, é importante que tenha certa desenvoltura para lidar com aspectos legais e jurídicos, relacionados à tecnologia da informação, operacional e financeiro da empresa e até à gestão de pessoas e recursos humanos. Quanto mais multidisciplinar for o DPO, melhor.

Além disso, o Encarregado também deve ter certa autonomia de atuação (até, obviamente, alcançar o patamar das tomadas de decisão – atribuição que não lhe cabe) e, idealmente, não acumularia funções, a fim de evitar eventuais conflitos em sua atuação.

Nomeado o Encarregado, é importante que haja uma divulgação transparente dos meios de contato, a fim de garantir que os titulares, autoridades e demais interessados possam utilizar esse canal de comunicação sempre que desejarem.

Desenvolvido pelo time Moreira Suzuki