Com o advento da Lei Geral de proteção de Dados Pessoais (Lei 13.079/2018) houve o surgimento de uma gama de esforços para garantir o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme artigo 1º do referido dispositivo legal.
Contudo, ainda pairam algumas dúvidas sobre a forma de tratar os dados pessoais. Quem pode ser agente de tratamento dos dados pessoais dentro das pessoas jurídicas? Sobre isso, denota-se que o controlador e o operador de dados pessoais, que podem ser pessoas naturais ou jurídicas de direito público ou privado (a depender da natureza da sociedade jurídica) poderão ser agentes de tratamento de dados.
Quanto a isso, em que pese haver agentes responsáveis pelo tratamento dos dados pessoais, conforme o “Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado” da ANPD (Autoridade Nacional de Proteção de Dados), no contexto de uma pessoa jurídica, a figura da sociedade/organização é o agente de tratamento para fins da LGPD, já que é esta que estabelece as regras para o tratamento de dados pessoais, a serem executados por seus representantes ou prepostos.
Além disso, o agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento dos dados. Também, pessoas naturais podem ser consideradas controladoras ou operadoras de dados pessoais.
Como exemplo, tomemos a seguinte situação: uma empresa resolve fazer uma pesquisa sobre os dados relacionados à saúde de seus trabalhadores para melhorar o plano de saúde de seu corpo laboral, ampliação da abrangência do plano, acréscimo do plano para dependentes, desenvolvimento de uma política preventiva de saúde com o apoio dos profissionais de saúde vinculados ao plano e mais. Claro que aqui, por se tratar de uma “empresa” idônea e que cumpre sua função social, os dados não serão usados com fins discriminatórios Ao contrário disso, serão usados para melhorar a qualidade de vida dos funcionários para além da empresa. Para isso, a empresa decidi contratar uma agência de avaliação de riscos, planejamento financeiro e investimento privado, que avaliará quais as mudanças são necessárias para que o plano de saúde se torne mais favorável aos funcionários dentro da percentagem de investimento da organização. A empresa informará dados que possam ser divulgados e estejam relacionados à saúde de seus funcionários (dados sensíveis). A empresa repassará estes dados para a agência. A agência tratará dos dados pessoais para prestar serviço a empresa, ao fazer uma avaliação sobre a necessidade, forma e percentagem de investimento em políticas preventivas e efetivas para melhoria da saúde de seu corpo laboral. Após a conclusão da agência, o funcionário da empresa enviará os dados para o plano de saúde.
Neste exemplo, a empresa atuará como controladora ao determinar o tratamento de dados e definir os seus elementos essenciais. A agência de risco atuará como operadora ao tratar dados conforme a finalidade do tratamento definida pela controladora. E o funcionário, ao enviar e-mails para o plano de saúde, atua sob o poder direito da empresa e não se caracteriza como agente de tratamento. Os agentes de tratamento neste caso são a empresa e a agência, ambas pessoas jurídicas. Muito embora, pudesse ser uma pessoa natural.
Desse modo, é importante que a sociedade empresária tenha uma definição clara de quem será o agente de tratamento de seus dados, a fim realizar contratos em que haja expressa referência aos cuidados com os dados pessoais (LGPD), bem como estabelecer vínculos com parceiros que tenham bem delineado em sua política a essência da proteção de dados pessoais e regras de compliance (política interna).
