As consequências para a Base Legal de Cumprimento de Obrigações Legais e Regulatórias
Por Bernardo Fico, João Pedro Nazareth
28/09/2024 | Originalmente publicado no JOTA.
Crédito: Unsplash
A LGPD prevê como agentes relevantes para as atividades de tratamento de dados as figuras do Operador e do Controlador, às quais se refere, indistintamente, como Agentes de Tratamento (art. 5º, IX).
A análise textual da lei não deixa dúvidas de que, embora relacionados, Operador e Controlador não se confundem; no entanto, a separação conceitual entre essas categorias de agente de tratamento tem sido tornada inócua devido à conformação interpretativa atual a respeito das obrigações derivadas da designação de Controladores e de Operadores.
Ao ter sua incidência expandida ao agente relevante de forma dissociada de sua designação em relação a operações de tratamento específicas, obrigações atribuídas a Controladores são tornadas aplicáveis a quaisquer agentes que, em relação a ao menos uma de suas operações, sejam Controladores. Em assim sendo, obrigações imputadas a Controladores passam a ser exigidas de qualquer agente que desempenhe operações de tratamento, indiferentemente das funções a que se presta em suas atividades, de forma que esse conceito é reduzido ao de Agente de Tratamento. Explica-se.
Segundo o art. 5º da LGPD, Operador “realiza o tratamento dos dados pessoais em nome do controlador”, enquanto Controlador “decide sobre o tratamento de dados pessoais” (art. 5º, VI). Assim, a norma centraliza o “controle” como elemento distintivo entre os tipos de agente de tratamento.
Mecanismo de distinção fática entre Controladores e Operadores é a segmentação de sua designação de acordo com a atividade de tratamento de dados realizada, em compreensão de que agentes de tratamento não são, inerentemente, controladores ou operadores; mas estão nessa posição em relação a determinada operação de tratamento.
O European Data Protection Board, nesse sentido, afirma que o status de “controlador” ou “operador” deve ser determinado pelas atividades em uma situação específica. A ANPD segue essa linha indicando que uma entidade pode ser “controladora e operadora”, conforme suas diferentes operações de tratamento. Esta distinção é relevante porque, pela LGPD, dentre outras obrigações, cabe aos Controladores o ônus da prova de consentimento (art. 8º, §2º), transparência (art. 10, §2º), e relatórios de impacto (art. 10, §3º).
Entretanto, essa diferença é minada pela universalidade da caracterização de Controladores em casos de cumprimento de obrigações legais ou regulatórias e pela expansão das obrigações de Controladores a todas as atividades dos agentes de tratamento.
Operações de tratamento de dados, quaisquer que sejam, devem ser justificadas nos termos dos artigos 7º ou 11 da LGPD, que elencam hipóteses de bases legais que autorizam Operadores e Controladores a tratar dados pessoais. Dentre elas, encontra-se o cumprimento de obrigação legal ou regulatória.
Conforme interpretação majoritariamente vigente, em grande medida tributária do próprio texto legal dos artigos 7º, II e 11, II, ‘a’ da LGPD (“cumprimento de obrigação legal ou regulatória pelo controlador”), agentes que tratem dados em relação a uma obrigação estipulada por força de instrumento legislativo ou regulatório são Controladores caso a obrigação recaia sobre eles, independentemente do grau de controle efetivo que exercem sobre qualquer decisão relativa à obrigação que se cumpre – o qual, diga-se, é nesse caso nulo.
Assim sendo, a existência de obrigações legais e regulatórias faz com que, para qualquer agente de tratamento, haja alguma atividade na qual é Controlador de dados.
Essa interpretação legislativa implica que obrigações de governança atribuídas a Controladores sejam aplicadas a todos os agentes de tratamento, pois, em alguma operação, todos serão Controladores. Por exemplo, o dever de designar um Encarregado pelo tratamento de dados pessoais (art. 41), recaindo sobre o agente como um todo, e acaba se aplicando não somente às atividades como Controlador. Assim, constrói-se cenário em que as definições de ‘Controlador’ e ‘Agente de Tratamento’ convergem.
A ANPD reforça essa confusão ao, equivocadamente, incluir “agentes de tratamento” como responsáveis pela indicação de Encarregado em seu Regulamento de Comunicação de Incidentes de Segurança, contradizendo o art. 41 da LGPD. No Regulamento do Encarregado a Autoridade também não nota que o art. 6º é inócuo: “A indicação de encarregado por operadores é facultativa […]”. Se qualquer Agente de Tratamento que desempenhe ao menos uma vez a função de Controlador estiver sujeito às obrigações de um Controlador (o que inclui a indicação de um Encarregado), não há “operador” para os fins do art. 6º.
Para superar essa confusão, propõem-se duas possibilidades: em relação (i) ao status do Estado em tratamentos sob o art. 7º, II e 11, II, ‘a’ da LGPD; e (ii) à modulação de efeitos sobre a condição de Controlador e suas obrigações decorrentes.
Uma solução seria reconhecer o Estado como Controlador em casos de cumprimento de obrigações legais e regulatórias, enquanto agentes privados atuariam como Operadores. Isso reconheceria o controle estatal sobre decisões relativas ao tratamento de dados pessoais, como quais dados tratar e por quanto tempo, e permitiria a existência de agentes que operem exclusivamente como Operadores, beneficiando-se das boas práticas recomendadas pela ANPD. No entanto, essa solução pode trazer desafios como a atribuição de obrigações adicionais ao Estado, que passaria a figurar como Controlador destas atividades.
Outra solução seria adotar a abordagem do GDPR, modulando efeitos para considerar que, em situações legais específicas, certos Agentes de Tratamento que cumprem obrigações regulatórias sejam equiparados a Controladores, apesar de, na prática, não o serem. A CNIL demonstra interpretação congruente ao excluir de relatórios de impacto atividades de tratamento resultantes de obrigações legais.
A LGPD, não obstante apresente conclusão símile à europeia – a saber, a de que agentes que tratem dados por obrigação regulatória sejam sujeitos a deveres direcionados a Controladores –, causa confusão ao deixar de estabelecer de forma explícita a exceção que tal situação representa, impedindo as conclusões derivadas deste cenário.
Conclui-se, assim, que há confusão conceitual entre Controladores e Agentes de Tratamento, decorrente de uma interpretação que expande as obrigações dos Controladores a todos os agentes. Qualquer agente que, em algum momento, atue como Controlador — mesmo sob obrigação legal ou regulatória — é tratado pela lei como Controlador de forma ampla.
Para superar essa confusão, propõe-se: (i) dissociar o papel de Controlador do agente privado e reconhecê-lo no Estado para atividades sob obrigações legais, e (ii) permitir modulação legislativa para equiparação excepcional de agentes a Controladores, sem comprometer a distinção entre as categorias.