ANPD – Próximos passos: Definição de Controladoria Conjunta e Suboperador

Definição de Controladoria Conjunta e Suboperador

Com a publicação do Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, em maio de 2021, foram incorporados os conceitos de Controladoria Conjunta e Suboperador, já existentes em outras legislações de privacidade e proteção de dados, como no caso da General Data Protection Regulation (GDPR).

Como avaliar se há controladoria conjunta?

Quando lemos Controladoria Conjunta, temos que ter em mente que há mais de um controlador na cadeia de tratamento com poder de decisão sobre o tratamento dos dados pessoais.

Além disso, dois ou mais controladores devem possui interesses mútuos, com base em finalidades próprias, sobre um mesmo tratamento.

Por fim, é necessário que os objetivos de tratamento dos dados sejam comuns, convergentes ou complementares na relação e, se este não for o caso, a relação será de controlador-operador e a controladoria conjunta não estará estabelecida, o que afastaria a incidência do art. 42, §1º, II, da LGPD (responsabilização solidária dos controladores).

Como descrito no Guia: “os controladores conjuntos são capazes de determinar os elementos essenciais do tratamento. Essa decisão é tomada de maneira coletiva, mas não há a necessidade de que cada controlador determine todos os elementos envolvidos em uma operação de tratamento para que a controladoria conjunta se estabeleça.”

De forma sucinta, para evidênciar a controladoria conjunta deverão ser verificados todos os seguintes elementos:

Um exemplo prático de controladoria conjunta é no caso de uma relação advinda de um hospital junto a um plano de assistência médica, em que ambos possuem um interesse conjunto para o tratamento de seu titular dos dados (beneficiário/paciente), para atendimento às suas necessidades médicas, como no caso de uma autorização para realização de cirurgia. Tanto o hospital quanto o plano de assistência médica tomam decisões convergentes sob o tratamento dos dados pessoais, têm o mesmo interesse na mesma operação e a base legal é a da tutela da saúde em procedimento médico e serviço de saúde, restando configurada, para esta operação de autorização, a controladoria conjunta.

Importante ressaltarmos que a controladoria conjunta não é perpétua, ou seja, em determinado momento após a operação de interesse conjunto se findar, para que cada parte possa seguir com o tratamento isolado do tratamento dos dados para suas finalidades próprias e distintas, configurando-se a controladoria singular. Continuando o exemplo acima, findada a autorização, o hospital segue com sua controladoria singular para lançamento dos dados do paciente em prontuário médico proprio do estabelecimento, e o plano de assistência médica segue com o tratamento dos dados pessoais para armazenamento em seus sistemas autorizativos da ANS.

Suboperador – Subcontratação do Operador

O Suboperador é uma figura terceira dentro da cadeia de tratamento de dados pessoais contratado diretamente pelo Operador para auxiliá-lo em suas atividades. Notadamente, para que seja configurada a relação de suboperador, o auxilio deverá ser referente às atividades desempenhadas pelo Operador para a consecução das atividades definidas pelo Controlador.

Um ponto importante a ser destacado nesta relação é a confiança inerente à cadeia de tratamento, ou seja, quando o operador contratar um suboperador para realização das atividades em conjunto, a ANPD sugere que seja coletada uma autorização formal do controlador para a garantia da segurança jurídica entre as partes, podendo ainda tal formalização constar em próprio contrato firmado entre as partes, ou seja, com o Controlador figurando como parte anuente no contrato.

No que se refere às responsabilidades, o suboperador pode ser equiparado ao operador em relação às atividades para as quais foi contratado para executar, ocorrendo, dessa forma, a ampliação da cadeia de responsabilidade solidária prevista no art. 42, §1º, I da LGPD (responsabilidade solidaria do operador).

Como exemplo para melhor compreensão do conceito, temos o caso em que um controlador contrata um operador para realização de eventos em um grande estabelecimento, coletando dados de inscrição, e o operador contrata, para viabilização desta atividade de inscrição, uma empresa terceira para gerenciamento e organização de tal evento, configurando-se, esta última, como suboperadora.

Fique atento aos proximos passos da ANPD, principalmente, quanto às definições dos agentes de tratamento incorporadas junto ao Guia. Nos proximos artigos, vamos trazer as colocações de encarregado de dados pessoais previstos no Guia, bem como nos novos posicionamentos da ANPD perante o seu planejamento estratégico.

Checklist: Planejamento estratégico de TI e Segurança em 2025

Participe da comunidade de tecnologia da Tripla

Siga a Tripla nas redes

Quer saber como nossas soluções podem beneficiar sua empresa? Converse com nossos especialistas!

Participe da comunidade
de tecnologia da Tripla

Copyright © 2020 Tripla

Fale com um de nossos consultores