Quais os papéis dos agentes de tratamento de dados pessoais?

Uma das perguntas mais comuns sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) era: Seriam os funcionários agentes de tratamento de dados pessoais?

Pois bem, uma das funções da Autoridade Nacional de Proteção de Dados (ANPD) é a regulamentação e uniformização de entendimento da LGPD. E a autoridade brasileira, ciente das diversas discussões e interpretações sobre o tema, publicou, no último dia 27 de maio, o seu primeiro Guia Orientativo, definindo claramente as atribuições dos agentes de tratamento – controlador e operador – e o papel do encarregado de dados. O Guia Orientativo para Definições de Agentes de Tratamento de Dados Pessoais e do Encarregado[1], que está disponível na página web da ANPD, clarifica qual é o papel dos servidores e funcionários à luz da LGPD, preenchendo lacunas que davam margem a interpretações conflituosas.

Agentes de tratamento, por definição, são aqueles que exercem o papel de controlador ou operador de dados pessoais. Pela LGPD, os agentes podem ser pessoas naturais ou jurídicas, de direito público ou privado. Até aqui, tudo como está na letra da lei. Mas funcionários e servidores públicos podem ser considerados controladores ou operadores?

Pessoas naturais podem ser agentes de tratamento – operadoras ou controladoras. A principal diferença entre controlador e operador é o poder de decisão que compete ao primeiro. O operador só pode fazer o que o controlador definir em relação à finalidade e elementos essenciais para isso. Segundo o guia, pessoas naturais exercem o papel de controlador quando agirem “de acordo com os próprios interesses, com poder de decisão sobre as finalidades e elementos essenciais de tratamento”. Pessoas naturais serão operadoras quando “atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento”. Por exemplo, um médico ou advogado, como profissionais liberais, que lidam com informações pessoais de pacientes ou clientes, estão atuando como controladores e como operadores, ao tratem tais dados pessoais. Contudo, esse não é o caso de um servidor público ou funcionário de uma entidade. Segundo o guia divulgado pela ANPD, “não são considerados controladores ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento”.

Até a publicação desse Guia Orientativo, havia interpretações diferentes quanto ao papel dos servidores e funcionários. O Ministério Público do Estado do Rio Grande do Sul, por exemplo, definiu por meio Provimento nº 68/2020[2] que todos os seus membros, servidores e estagiários são considerados operadores de dados pessoais[3]. O Tribunal de Justiça do Distrito Federal e dos Territórios, por sua vez, estabeleceu, por meio da Resolução nº 09, de 2 de setembro de 2020[4], que o seu presidente é controlador e que os vice-presidentes e o corregedor são “controladores-adjuntos”. Além disso, o TJDFT definiu que todos os servidores e terceirizados são operadores[5] e chegou a classificar os operadores em 3 níveis[6], com estabelecimento de revisão do fluxo de tratamento entre esses níveis de “operador”.

Com o Guia Orientativo recém-publicado, a ANPD vem esclarecer um ponto que tem sido alvo de calorosos debates na sociedade civil. Contudo, a responsabilidade pela proteção de dados pessoais vai além dos papéis definidos pela LGPD. O fato de o funcionário ou servidor não serem enquadrados como operadores ou controladores não os isenta da responsabilidade de zelar pela proteção dos dados pessoais com os quais eles trabalham. É fundamental que todos busquem criar uma cultura de proteção de dados, aprimorando um olhar clínico para identificar os limites de sua atuação dentro de suas atribuições e de acordo com as diretrizes do controlador. Todos devem atuar pautados pelos princípios da LGPD – especialmente a finalidade, adequação e necessidade –, visando ao atendimento dos parâmetros definidos pelo controlador. Assim, os titulares dos dados terão todos os seus direitos respeitados.

[1] https://www.gov.br/anpd/pt-br/assuntos/noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf
[2] https://www.mprs.mp.br/legislacao/provimentos/14204/
[3] Art. 6.º No âmbito do Ministério Público do Estado do Rio Grande do Sul, os operadores de dados pessoais são os membros, servidores e estagiários da Instituição.
[4] https://www.tjdft.jus.br/publicacoes/publicacoes-oficiais/resolucoes-do-pleno/2020/resolucao-9-de-02-09-2020
[5] Art. 5º No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais – CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.
[6] Art. 7º No Tribunal, os operadores são organizados em níveis:
I – Nível 1: os operadores do nível 1 são os supervisores e seus subordinados;
II – Nível 2: os operadores do nível 2 são os subsecretários, os coordenadores e os titulares dos núcleos permanentes;
III – Nível 3: os operadores do nível 3 são os componentes da Administração Executiva, os secretários, os magistrados, os assessores de gabinete e os diretores de secretaria responsáveis pela gestão finalística.

*Fabio Correa Xavier – Diretor Técnico de Departamento Tecnológico de DTI do Tribunal de Contas do Estado de São Paulo

Quanto aos papéis dos agentes de tratamento de dados pessoais?

Quem são os agentes de tratamento de dados e quais são as suas funções?

Qual o papel do agente de proteção de dados?

O que são os agentes de tratamento?