Quem é o suboperador, nova definição trazida pela autoridade nacional de proteção de dados, entidade responsável por fiscalizar o cumprimento da LGPD?
Em 28 de abril de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a nova versão do Guia de Agentes de Tratamento de Dados, que dentro de suas disposições, inovou ao trazer o conceito e as responsabilidades do suboperador.
Mas, na prática, quem é o suboperador?
Antes de adentrar neste assunto, é importante ressaltar que a LGPD definiu apenas o controlador e o operador (artigo 5º, incisos VI, VII e IX, da LGPD) como agentes de tratamento de dados.
Para esclarecer ao leitor, o controlador é a pessoa jurídica, direito público ou privado, a quem competem as decisões do tratamento dos dados pessoais. O operador por sua vez, é quem realiza o tratamento dos dados conforme as decisões do controlador.
Isto esclarecido, a Autoridade Nacional entendeu que o conceito dos agentes de tratamento não devia se limitar exclusivamente ao controlador e operador. Deste modo:
[…] a falta do conceito de suboperador na LGPD não impossibilita ou torna ilegal que ele exista ou que tenha funções, competências e responsabilidade no ambiente de proteção de dados pessoais brasileiro. […] importa saber que o suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e não com o controlador.
(ANPD, Guia de Agentes de Tratamento de Dados Pessoais e do Encarregado, 2022.)
Neste entendimento, cito, pois, o seguinte exemplo: com o objetivo de alavancar suas vendas, a empresa (controlador) realiza a contratação de prestador de serviço (operador) para realizar pesquisa de mercado. Após realizar a pesquisa conforme às determinações daquela, esse deve mensurar e enviar-lhe os resultados decorrentes da pesquisa. Porém, para execução dos seus serviços, o prestador precisa contratar serviço de armazenamento em nuvem de empresa (suboperador) especializada no ramo da tecnologia.
De acordo com o entendimento da ANPD, e o exemplo supracitado, é possível notar que a referida Autoridade ampliou o rol dos agentes de tratamento de dados pessoais previstos na LGPD e, por consequência, a responsabilidade solidária prevista no artigo 42, parágrafo primeiro, inciso I, da lei, isto porque o suboperador poderá ser equiparado ao operador em caso de descumprimento aos termos da nova lei, e responder, da mesma forma que esse, perante a Autoridade Nacional de Proteção de Dados e demais órgãos de fiscalização.
O Guia de Agentes de Tratamento de Dados reforça, então, a importância da necessidade de pactuar contratos que versem sobre a responsabilidade desses agentes quanto aos dados pessoais tratados, especialmente a adequação dos agentes citados aos dispositivos da Lei Geral de Proteção de Dados.
Texto por: Lizandra Batista (Advogada da área LGPD)
RESTARAM DÚVIDAS? ENTRE EM CONTATO CONOSCO
LEAL QUEIROZ ADVOCACIA CORPORATIVA
(83) 3077-2107
contato@lealqueiroz.adv.br
REFERÊNCIAS BIBLIOGRÁFICAS
Autoridade Nacional de Proteção de Dados. GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO – Versão 2.0. 2022. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_ Tratamento_retificada.pdf>. Acesso em: 12 de junho de 2022.