Recomenda-se observar as situações de fato que exijam tratamento de dados entre as partes e a posição de cada agente sobre cada tratamento.

A Lei Geral de Proteção de Dados (LGPD) define os agentes de tratamento, que podem ser pessoas físicas ou jurídicas, de direito público ou privado, responsáveis pelo tratamento de dados pessoais: controladores e operadores de dados pessoais.

Controladores

São considerados como controladores as pessoas físicas ou jurídicas a quem compete as decisões referentes ao tratamento de dados pessoais (art. 5º, VI, da LGPD). Os operadores são aqueles que realizam o tratamento de dados pessoais em nome do controlador (art. 5º, VII, da LGPD).

Apesar do conceito ser aparentemente simples, podem ocorrer confusões na redação de cláusulas contratuais, principalmente porque um agente de tratamento pode assumir posições distintas dentro de uma mesma relação contratual.

Na tentativa de esclarecer as dúvidas decorrentes das posições dos agentes de tratamento, a ANPD (Autoridade Nacional de Proteção de Dados) publicou em 28/5/21 o Guia Orientativo para Agentes de Tratamento, que foi atualizado em sua segunda versão em 27/4/22.

Neste guia, que não é vinculante, mas busca elucidar muitas dúvidas, a ANPD discorre sobre a controladoria conjunta e independente (ou singular) e como diferenciá-las na prática, além de discorrer sobre o operador e suboperador de dados.

A controladoria conjunta é definida quando, dentro de uma relação contratual, mais de uma empresa tem o poder de decisão sobre o tratamento de dados pessoais, ou seja, dois ou mais controladores, que, com base em finalidades próprias, determinam um mesmo tratamento.

O guia ainda discorre sobre critérios para estabelecer se há controladoria conjunta, reforçando que, para determinar se existe de fato essa controladoria conjunta, todos os critérios abaixo devem ser observados:

Mais de um controlador tem poder de decisão sobre o tratamento de dados pessoais;

Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e

Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.

A controladoria independente ou singular ocorre quando o tratamento dos dados pessoais é feito em conjunto por dois controladores, porém com finalidades distintas. Nesta hipótese, os controladores têm autonomia para determinar as finalidades próprias e atinentes à sua atividade, para o tratamento de dados pessoais.

Uma vez que se configure a controladoria conjunta, a responsabilidade dos controladores é solidária, nos termos do art. 42, §1º, II, o que reforça a importância de que todos estejam em conformidade com a LGPD.

Entretanto, ainda que o mesmo conjunto de dados seja tratado, não haverá controladoria conjunta se os objetivos do tratamento forem distintos. Por exemplo, diversos controladores podem tratar determinados dados, cada um para suas finalidades específicas. Se estas finalidades não forem comuns, convergentes ou complementares, ambos serão controladores singulares em relação ao tratamento de dados e a controladoria conjunta não estará estabelecida, o que afastaria a incidência da responsabilidade solidária.

Como exemplo de controladoria independente podemos citar, como exemplo, o tratamento de dados pessoais dos beneficiários em um contrato de credenciamento de um hospital por uma operadora de plano de saúde. Neste contrato, ambas as partes (hospital e operadora de plano de saúde) tratarão dados pessoais dos beneficiários com finalidades distintas, sendo considerados, portanto, controladores singulares em relação ao tratamento dos dados pessoais dos beneficiários-pacientes.

Já como exemplo de controladoria conjunta, podemos citar uma empresa que contrata outra empresa de consultoria para realizar recrutamento e seleção para determinadas vagas da empresa contratante. Neste caso, ambas definirão em conjunto a finalidade do tratamento dos dados para o processo de recrutamento, sendo, portanto, controladoras conjuntas.

Operadores

O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada. O operador só poderá tratar os dados para a finalidade previamente estabelecida pelo controlador. Essa é a principal diferença entre o controlador e operador, qual seja, o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador.

O operador pode subcontratar outros operadores para determinadas tarefas de tratamento de dados. Neste caso, o contratado pelo operador é denominado como suboperador e pode ser equiparado ao operador com relação à responsabilidade no tratamento de dados.

A importância da Realidade Fática

Muitas vezes as empresas se intitulam, em contrato, como controladores de tratamento, numa tentativa de garantir ou resguardar direitos ou posições que acreditam ser estratégicos. No entanto, o enquadramento da empresa será determinado de acordo com a realidade fática decorrente das relações jurídicas estabelecidas, podendo muitas vezes a mesma empresa assumir a posição de controlador e operador com um mesmo parceiro, a depender das atividades de tratamento existentes sob aquele contrato.

Assim, recomenda-se observar as situações de fato que exijam tratamento de dados entre as partes e a posição de cada agente sobre cada tratamento, com o objetivo de adequar o papel de cada agente, de acordo com os tratamentos efetivamente existentes.

Se já era importante que os advogados e interessados entendessem muito bem os detalhes do negócio para elaboração de um contrato adequado, essa necessidade foi intensificada para a redação das cláusulas de proteção de dados, haja vista que, para identificação dos papeis dos agentes de tratamento, deve-se mapear todos os tratamentos existentes a partir da situação fática, para assim poder melhor definir as cláusulas de proteção de dados e responsabilidades de parte a parte.

Fonte: Migalhas