Autoridade Nacional de Proteção de Dados (ANPD), com fundamento no artigo 55-J, incisos VI e VII, da Lei Geral de Proteção de Dados (LGPD), que lhe atribuiu competência para promover na população o conhecimento das normas e para elaborar estudos sobre as práticas nacionais em proteção de dados pessoais, publicou em 28 de maio o seu Guia Orientativo, que trata, dentre outras questões, da figura do operador de dados.
No referido material, seguindo o texto expresso da LGPD, qualificaram-se as figuras dos controladores e operadores de dados, podendo ser o primeiro a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; e o segundo, a pessoa natural ou jurídica, de direito público ou privado, que faz o tratamento de dados pessoais em nome do controlador. Entretanto, também pontuou-se que não são considerados controladores ou operadores, na interpretação da ANPD, os indivíduos subordinados, como os empregados, em razão de atuarem sempre sob o poder diretivo do agente de tratamento.
Ao tratar especificamente da figura do controlador, ficou muito clara a decorrência lógica no sentido de que as pessoas naturais, as quais atuam como profissionais subordinados a uma pessoa jurídica, não podem exercer tal posição como agente de tratamento de dados. Os empregados sempre atuam em nome e expressam a vontade de seu empregador, que tem a competência legal para estipular como se dá o tratamento de dados.
A ANPD ainda foi além, estabelecendo que nem mesmo os os administradores, sócios e outras pessoas naturais que integram a pessoa jurídica podem ser considerados controladores para fins de aplicação da LGPD. A justificativa seria que, na prática de seus atos, essas figuras expressam a atuação da pessoa jurídica que representam. Na sua visão, portanto, a ANPD entende que a figura do controlador não deve ser entendida como uma norma de distribuição interna de competências e responsabilidades, já que se trata de comando legal que atribui obrigações específicas à pessoa jurídica, a qual deve assumir toda responsabilidade pelos atos praticados por seus agentes e prepostos.
Ocorre que, em relação ao operador de dados, a ANPD acabou externando uma limitação de aplicação do texto legal um tanto quanto controversa no sentido de que as pessoas naturais só poderão ser consideradas nessa definição quando se tratar de uma entidade distinta do controlador, isto é, que não atua como profissional subordinado.
Inclusive, como fundamento para o seu inusitado entendimento, fez menção em nota de rodapé ao disposto no artigo 29 do Regulamento Geral de Proteção de Dados (GDPR) [1], vigente na União Europeia, que traz a diferença entre o operador e o operador subordinado, que age sempre sob a autoridade do responsável pelo tratamento ou de um operador terceiro à companhia.
No artigo 4º da GDPR, que traz os conceitos legais semelhantes ao disposto no artigo 5º da LGPD, existe a definição da figura do "processor" como sendo "uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes". Essa figura poderia muito bem servir para qualificação dos empregados de uma empresa, que fazem o tratamento de dados em nome do empregador, se não fosse a ressalva feita no artigo 29 da mesma lei.
Ocorre que na LGPD o legislador nacional optou por tipificar apenas duas figuras como agentes de tratamento, o controlador e o operador, sem fazer qualquer distinção em relação àquele que age sob o poder diretivo de um empregador, bem como existem fatos concretos e inafastáveis da realidade de uma empresa que impõe que alguns empregados, em razão da própria natureza de suas atribuições, façam o tratamento de dados pessoais, figurando na prática como agentes de tratamento, independentemente da interpretação consolidada no guia orientativo da ANPD, que acabou por colocar a figura dos empregados em uma espécie limbo jurídico.
Diferentemente do previsto no anteprojeto elaborado, o qual apresentava o conceito referente ao subcontratado ao mencionar no artigo 11 que : "O responsável pelo tratamento de dados, bem como eventuais subcontratados, deverão adotar medidas tecnológicas aptas a reduzir ao máximo o risco da destruição, perda, acesso não autorizado ou de tratamento não permitido pelo titular".
Não existe incompatibilidade conceitual entre o disposto no artigo 5º, VII da LGPD e o artigo 3º da Consolidação das Leis do Trabalho (CLT), pelo contrário parecem se encaixar perfeitamente, ainda mais quando analisamos os demais dispositivos da LGPD em conjunto [2].
Ademais, a LGPD já prevê hipóteses de mitigação da responsabilidade do operador de dados compatíveis com a situação daqueles sujeitos a uma força diretiva externa que limite o seu poder de decisão, inclusive em relação ao subordinado no cumprimento de regras impostas pelo controlador-empregador.
Por exemplo, o artigo 39 prevê que o operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará, por sua vez, o cumprimento dessas regras e da licitude das ações dos que agem em seu nome.
Igualmente, no artigo 42, ao fixar as responsabilidades do controlador e do operador no exercício de atividade de tratamento de dados pessoais, é assegurado no inciso I do §1º do dispositivo a mitigação dessa responsabilidade do operador, a qual limitada a hipótese de danos causados pelo tratamento em descumprimento às obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.
Há praticamente um espelhamento de parte da conceituação (CLT- LGPD) fazendo com que se conclua que o melhor enquadramento do empregado dentro da legislação de proteção de dados brasileira não é a de operador de dados típico, em razão da diminuição do seu poder decisório em razão da subordinação, distintamente do que ocorre com os sócios ou administradores que deveriam ser equiparados a controladores, embora não se confundam com a pessoa jurídica que representam.
No mais, do ponto de vista do compliance trabalhista, a interpretação externada pela ANPD não modifica a responsabilidade que já era atribuída ao controlador em razão dos atos praticados pelos seus funcionários, o que se coaduna com o disposto nos artigos 932, inciso III e 933 do Código Civil, sendo o empregador responsável pela reparação civil, independente da prova de sua culpa, por atos de seus empregados e prepostos em virtude de danos decorrentes do exercício do trabalho ou em razão dele.
Na interpretação anterior ao guia publicizado pela ANPD, fruto da hermenêutica dos dispositivos legais aplicáveis, já assumia-se a existência de uma figura híbrida para o empregado, enquadrando-o como uma espécie de operador de dados preposto ou operador de dados subordinado, cuja responsabilização decorrente de suas ações de tratamento de dados em nome do controlador deveriam ser mitigadas quando agindo licitamente e seguindo estritamente as determinações do seu empregador. Ressalvado o fato de que seriam considerados, sim, mais um agente de tratamento de dados nessa cadeia pela compatibilidade do conceito previsto na LGPD.
Assim sendo, na prática, os controladores-empregadores deverão tratar essa nova figura criada fruto dessa interpretação da ANPD como um agente de tratamento de dados externo à relação imposta pela LGPD, um operador subordinado, cuja responsabilização será limitada à esfera trabalhista e cível por conta do modus operandi em que se dá o tratamento de dados por eles.
Portanto, mostra-se ainda mais importante o investimento em boas práticas de segurança da informação e privacidade de dados, políticas internas específicas para o estabelecimento de sanções internas pelo descumprimento, normas contratuais voltadas para esse tipo de profissional, prevendo a responsabilização compatível com a legislação cível e trabalhista, treinamento e fiscalização de pessoal.
[1] artigo 29 GDPR Processing under the authority of the controller or processor: The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.
[2] Operador (LGPD) - artigo 5º (...) VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; Empregado (CLT) - artigo 3º - Considera-se empregado toda pessoa física que prestar serviços de natureza não eventual a empregador, sob a dependência deste e mediante salário.
Viviane Ribeiro é advogada, mestranda em Direito do Trabalho e Seguridade Social pela Universidade de São Paulo, pós-graduada em Direito do Trabalho pela FGV, pós-graduada em Direito do Trabalho e Direito Civil pela Universidade Dom Bosco, pesquisadora do Getrab-USP e membro da Comissão de Direito do Trabalho da OAB-SP.
Maurício Pallotta é advogado atuante na área trabalhista individual e coletiva empresarial, sócio fundador do escritório Pallotta, Martins e Advogados e da STLaw, professor, palestrante, instrutor in company, mestre em Direito do Trabalho e Seguridade Social pela Universidade de São Paulo e especialista em Direito Previdenciário Empresarial, autor da obra “Contratação na multidão e a subordinação jurídica” pela editora Mizuno.
Fonte: Conjur