Notícias
LGPD: Quem são os agentes de tratamento de dados?
Por Joelson Sell
Mais de nove meses após entrar em vigor, empresas, órgãos públicos e cidadãos brasileiros ainda colecionam uma série de dúvidas a respeito da Lei Geral de Proteção de Dados (LGPD), principalmente em relação as funções exercidas por aqueles que serão responsáveis pelo tratamento das informações.
No final do mês passado, a Autoridade Nacional de Proteção de Dados (ANPD), incumbidos por fiscalizar e editar normas previstas na LGPD, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, controlar e aplicar sanções em caso de tratamento dados realizados em descumprimento à legislação, publicou o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado” a fim de esclarecer questionamentos acerca do assunto.
Para garantir o tratamento dos dados pessoais em conformidade com a LGPD, os cartórios também deverão lançar mão de agentes, que serão divididos em controlador e processador de dados (operador).
Segundo o guia, o controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e definir suas finalidades, podendo ser pessoa natural ou jurídica, de direito público ou privado. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais.
Já o operador é o agente responsável por realizar o tratamento das informações em nome do controlador. Ou seja, ele só pode agir no limite das finalidades determinadas por ele. A principal diferença entre os cargos é o poder de decisão.
O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. No caso dos cartórios, o encarregado não precisa, necessariamente, ser o titular ou o interino, podendo ser um funcionário, que será chamado de operador conjunto. Este ficará responsável pelo tratamento dos dados, que vai da coleta ao armazenamento, e pelo envio posterior das informações e da manutenção.
O encarregado, ou Data Protection Officer (DPO), é a pessoa física ou jurídica a ser indicada pelo controlador e pelo operador – nos casos a serem apontados oportunamente pela ANPD – para atuar como elo de comunicação entre os agentes de tratamento, os titulares de dados pessoais e a ANPD.
É possível a indicação de um único DPO para um grupo de cartórios, sendo garantida sua autonomia técnica e operacional no exercício de suas funções que podem vir a ser regulamentadas pela ANPD. Desta forma, entende-se que mais de uma serventia possa compartilhar um mesmo DPO, nos moldes como é facultado aos grupos econômicos.
Além disso, o Provimento nº 23/2020 da Corregedoria Geral da Justiça do Estado de São Paulo, definiu que os responsáveis pelas delegações são os controladores, os quais deverão observar, de acordo com o citado Provimento, fundamentos e princípios estabelecidos nos art. 1º, 2º e 6º da LGPD, além de serem responsáveis pelas decisões referentes ao tratamento dos dados pessoais. Nesse caso, o controlador poderá nomear como encarregado um integrante do seu quadro de prepostos ou um prestador terceirizado de serviços técnicos, como um escritório de advocacia, por exemplo.
Vale lembrar que as penalidades aplicadas às empresas e aos órgãos que não cumprirem com as normas da LGPD começarão a ser empregadas em agosto deste ano. A lei prevê diversas sanções, a depender da gravidade e da proporcionalidade do descumprimento, tais como: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento líquido da pessoa jurídica, limitada, no total, a R$ 50 milhões por infração; multa diária; publicação da infração após devidamente apurada e confirmada a sua ocorrência; entre outras medidas.
Em caso de incidentes, os titulares ou interinos devem enviar aos órgãos competentes o relato do acontecido junto com relatórios de impactos e de redução de danos. Com a velocidade da internet, a propagação de todas as informações se dá muito rápido e, por esta razão, o controle de todo o fluxo dos dados deve ser minuciosamente documentado.
*Joelson Sell é um dos fundadores da Escriba Informatização Notarial e Registral, além de Diretor de Relações Institucionais da empresa.