Lei Geral de Proteção de Dados - LGPD
Agentes de Tratamentos de Dados e as Responsabilidades decorrentes da LGPD
Sociedades Limitadas e Sociedades Anônimas
A Lei Geral de Proteção de Dados - LGPD (Lei Federal nº 13.709/2018, alterada pela Lei Federal nº 13.853/2019) entrou em vigor este ano, introduzindo uma nova regulamentação, para qualquer operação de tratamento de dados pessoais, realizada por pessoas naturais ou jurídicas, nos segmentos de direito público ou privado.
Como já exposto em nossos anteriores boletins, a LGPD determina uma séria de regras e responsabilidades para a realização do tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Dado o largo espectro de abrangência das disposições legais, empresas de qualquer porte econômico, foram, em maior ou menor escala, alcançadas pela LGPD. Portanto, é fundamental preparar a sua organização para esta nova realidade jurídica e empresarial.
Neste boletim, vamos comentar sobre os Agentes de Tratamento de dados e sobre a importância de obtenção do consentimento do titular dos dados.
Quem são os “Agentes de Tratamento” de dados pessoais?
A LGPD considera como “Agentes de Tratamento” de dados pessoais as pessoas (físicas ou jurídicas) que desempenham os papeis de controlador e de operador.
O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, inclusive o período do tratamento, a finalidade e a razoabilidade do tratamento; é quem define os meios de segurança aplicáveis aos dados e as formas de mitigação de riscos associados à proteção dos dados pessoais; é quem determina ao operador, por meio de instruções, quais e como os dados serão tratados; é quem tem o ônus de provar a obtenção do consentimento expresso e inequívoco do titular; é quem elabora o relatório de risco ou impacto à proteção dos dados pessoais por determinação da Autoridade Nacional (ANPD) e responde a ela por tais riscos.
Já o operador é a pessoa natural ou jurídica, de direito público ou privado, escolhida pelo controlador, para realizar o tratamento de dados pessoais, em nome e no interesse do controlador. O operador deve agir e realizar o tratamento dos dados pessoais segundo as instruções fornecidas pelo controlador, mantendo registro das operações de tratamento de dados que realizar.
É importante mencionar que todos os dados pessoais coletados pelo empresário, para tratamento, estão protegidos pelas disposições da LGPD, tais como, dados pessoais de clientes, colaboradores, parceiros, empregados e terceiros.
Complexidades em torno da definição dos Agentes de Tratamento
As distinções iniciais, acima comentadas, são importantes para nos ajudar a compreender melhor a complexidade existente em torno do assunto.
Existe certa dificuldade natural em definir os papeis de controlador e de operador de dados pessoais, no âmbito das organizações, sobretudo porque há uma larga gama de situações fáticas que alcançam os empreendimentos econômicos, as quais dificultam este entendimento.
No entanto, o cumprimento da legislação de proteção aos dados pessoais exige uma precisa compreensão sobre as funções de cada um dos Agentes de Tratamento de dados, pois desta compreensão e definição decorrem responsabilidades em relação aos sujeitos titulares dos dados e em relação à ANPD.
Existem teias complexas, por meio das quais entrelaçam-se distintas organizações, cada qual desempenhando uma função distinta, apesar de relacionadas, exigindo o compartilhamento de dados pessoais para o cumprimento de finalidades comuns ou complementares.
São exemplos destas situações os contratos compartilhados ou empreendimentos conjuntos, cujos objetos principais são desenvolvidos por um conjunto de empresas, tais como as associações, os consórcios, as subcontratações, as terceirizações, as agências e representações.
Além disso, temos os casos de parcerias, onde parcelas das atividades (distintas das “atividades fim”) são alocadas a outros empresários, para possibilitar maior eficiência nos processos de execução dos trabalhos e a redução dos custos.
Há casos de contratação de fornecedores de serviços contábeis, de apoio em gestão de mão-de-obra e de recursos humanos, de marketing, logística etc.
Temos ainda as parcerias, coligações ou convênios entre empresários, por meio dos quais podem promover suas marcas junto aos seus respectivos clientes, oferecendo a estes programas de fidelidade, incentivos, vantagens ou promoções.
Todas estas hipóteses acima exemplificadas merecem ser analisadas com maior cautela, de forma a compreender com exatidão qual o papel ou função a ser desempenhada, em cada caso, por cada empresário, aferindo, a partir daí, os processos que deverão ser seguidos pelos Agentes de Tratamento de dados, de forma a corretamente cumprir com os propósitos da LGPD, assegurando, em qualquer caso, que o consentimento do titular dos dados foi corretamente obtido.
A importância do consentimento do titular dos dados para toda a cadeia de controladores
Como apontado acima, uma única relação empresarial poderia chegar a envolver diversos controladores de dados e outros tantos operadores.
Desta forma, entender o processo mediante o qual os dados serão coletados, distribuídos, compartilhados e tratados é fundamental para a correta alocação de riscos e responsabilidades entre as partes e para adequadamente estabelecer os mecanismos de proteção dos dados.
Desta forma, idealmente, cada empreendimento a ser realizado por um empresário deve ser analisado de forma particular, aferindo, caso a caso, o papel de terceiros eventualmente associados ou contratados para a realização de tarefas integrantes do objeto contratado. Em cada caso, verificar se o terceiro será apenas operador dos dados, hipótese em que estará sujeito integralmente aos comandos e instruções envidadas pelo controlador, ou se este terceiro terá livre gerência sobre a forma de tratar os dados, bem como de definir as estratégias para proteger e mitigar riscos sobre a segurança dos dados.
A diligência interna é imprescindível para que as organizações possam corretamente mapear os papeis de seus fornecedores e parceiros de negócio, no intuito de compreender as funções que cada um desempenhará em relação ao tratamento dos dados.
Feita esta diligência, ressaltamos a importância de que o controlador original (i) divulgue ao titular dos dados a cadeia de controladores com os quais ele, controlador original, fará o compartilhamento dos dados, explicando as finalidades, prazos, meios utilizados para armazenamento, entre outros, e (ii) obtenha o expresso consentimento do titular, mediante cláusula contratual específica (ou por outro meio seguro).
Finalmente, devemos frisar que, o consentimento do titular deve ser dado de forma clara, livre, à vista de completa informação provida pelo controlador, acerca do tratamento dos dados pessoais, para uma determinada finalidade, específica e razoável.
O consentimento lícito do titular é necessário para que o tratamento dos dados ocorra sem violação às disposições da LGPD.
Nos próximos boletins, exploraremos mais sobre as responsabilidades dos Agentes de Tratamento de dados, em relação aos danos causados aos titulares e algumas formas e sugestões para mitigação dos riscos inerentes à segurança no tratamento dos dados pessoais.
A informação contida neste Informativo é de caráter geral e não constitui assessoria jurídica.
ARDUIN ADVOGADOS© Todos os Direitos Reservados
Brazilian General Data Protection Law - LGPD
Data Processing Agents and Responsibilities under the LGPD
Limited Liability Companies and Corporations by Shares
The General Data Protection Law - LGPD (Federal Law No. 13,709 / 2018, amended by Federal Law No. 13,853/2019) came into force this year, introducing a new regulation applicable to any personal data processing operation, carried out by natural or legal persons, in public or private sectors.
As already explained in our previous bulletins, the LGPD determines a series of rules and responsibilities for carrying out the processing of personal data, including in digital media, in order to protect the fundamental rights of freedom and privacy and the free development of the personality of the natural person.
Given the wide scope of the LGPD provisions, companies of any economic size were, to a greater or lesser extent, achieved by the LGPD. Therefore, it is essential to prepare your organization for this new legal and business reality.
In this bulletin, we will comment on Data Processing Agents and the importance of obtaining the express consent from the personal data owner.
Who are considered as “Personal Data Processing Agents”?
The LGPD considers as “Data Processing Agents” those (natural or legal persons) who play the roles of controller and operator.
The controller is the natural or legal person, public or private, who is responsible for decisions regarding the processing of the personal data, including the period during which the processing will occur, the purpose and rationality of the processing; it is who defines the security means applicable to the data and the ways of mitigating risks associated with the protection of the personal data; it is who gives instructions to the operator, regarding which and how the data will be treated; it is the person who has the burden of proving that it has obtained express and unequivocal consent from the personal data owner; it is the person who drafts the risk/impact report for the protection of the personal data, pursuant to determinations given by the Personal Data National Authority (ANPD) and is responsible for such risks towards the ANPD.
The operator, on the other hand, is the natural or legal person, of public or private law, chosen by the controller, to carry out the processing of the personal data, in the name and in the interest of the controller. The operator must act and carry out the processing of personal data according to the instructions provided by the controller, keeping a record of the data processing operations to be carried out.
It is important to mention that all personal data collected by the entrepreneur, for processing, are protected by the provisions of the LGPD, such as personal data of customers, employees, partners, employees and third parties.
Difficulties around the definition of “Personal Data Processing Agents”
The initial distinctions regarding the definition of the Personal Data Processing Agents, as pointed out above, are important to help gaining a better understand of the complexities around the subject.
There is a certain natural difficulty in defining the roles of controller and operator of personal data within business organizations, mainly because there are a wide range of factual situations within the economic field, which hinder this understanding.
However, compliance with the legislation on the personal data protection requires a precise understanding of the functions of each of the Data Processing Agents, as this understanding and definition result in responsibilities in relation to the data owners and in relation to the ANPD.
There are complex networks, through which different business organizations are intertwined, each performing a different role, although related, requiring the sharing of personal data to fulfill common or complementary purposes.
Examples of these situations are shared contracts or joint ventures, whose main objects are developed by a group of companies, such as associations, consortium, subcontracting, outsourcing, agencies and representations.
In addition, we have the cases of partnerships, where portions of business activities (other than “corporate purposes”) are allocated to other business companies and entrepreneurs, to enable greater efficiency in the processes of carrying out the work and to reduce costs.
There are cases of hiring suppliers of accounting services, as well as support in the management of labor and human resources, marketing services, logistics, etc.
We also have partnerships or agreements between entrepreneurs, through which they can promote their brands among their respective customers, offering loyalty programs, incentives, advantages or promotions.
All these cases exemplified above must be analyzed with greater caution, in order to understand exactly which role or function will be performed, in each case, by each entrepreneur, assessing, from there, the processes that must be followed by the Data Processing Agents, in order to correctly comply with the purposes of the LGPD, ensuring, in any case, that the consent of the data owner was correctly obtained.
The consent from the data owners is of greatest importance for the entire chain of controllers
As noted above, a single business relationship could involve several data controllers and operators.
Understanding the process by which data will be collected, distributed, shared, and treated is a key factor for the correct allocation of the risks and responsibilities between the parties and to properly establish the data protection mechanisms.
Thus, ideally, each business or enterprise to be carried out by an entrepreneur should be analyzed in a particular way, assessing, on a case-by-case basis, the role of third parties that may be associated or contracted to carry out tasks that are part of the contracted object. In each case, check if the third party will only be a data operator, in which case it will be fully subject to the commands and instructions sent by the controller, or if this third party will have free management on how to treat the data received, as well as on how to define strategies for protecting and mitigating the data security risks.
Internal diligence is essential so that organizations can correctly identify the roles of their suppliers and business partners, to better understand if they will act as operator or controller of the data.
Bearing this in mind, we emphasize the importance that the original controller (i) disclose to the data owner the chain of controllers the data will be shared with, explaining the purposes, terms, means used for storage, among others, and (ii) obtain the express consent of the owner, by means of a specific contractual clause (or by other safe means).
Finally, we must emphasize that the consent of the data owner must be given in a clear and free statement, upon receipt of complete information provided by the controller regarding the processing of the personal data, for a specific and reasonable purpose.
The lawful consent of the owner is necessary for the processing of the data to take place without violating the provisions of the LGPD.
In the next bulletins, we will explore more about the responsibilities of the Data Processing Agents, in relation to the damage caused to the owners and some ways and suggestions to mitigate the risks inherent to security in the processing of personal data.
The information contained in this Newsletter is of a general nature and does not constitute legal advice.
ARDUIN ADVOGADOS © All Rights Reserved