Odélio Porto Júnior*
1. Introdução
Decorrido certo tempo da entrada em vigor da LGPD, as empresas e entidades públicas já começam a apresentar grau mais avançado em seus projetos internos de adequação. E, à medida que esses agentes buscam estar em conformidade com a lei, é que passa a ficar mais evidente as dificuldades na aplicação prática dos conceitos de “Controlador de Dados” e “Operador de Dados” nas relações de tratamento. Obviamente, não se pode esperar que um texto legal consiga abarcar com perfeição situações fáticas complexas. Assim, apesar das dificuldades na sua aplicação, e não subestimando as necessárias críticas às limitações conceituais da lei, entende-se que os conceitos ainda apresentam utilidade.
Como já é comum em diversos textos envolvendo privacidade e proteção de dados no Brasil, neste artigo, buscamos fazer um paralelo com o cenário da União Europeia (EU) para verificar como o conceito de “Controlador de Dados” foi expandido naqueles países – seja pelas orientações das autoridades reguladoras, seja por meio da jurisprudência. A par disso, podemos ter um vislumbre dos possíveis caminhos interpretativos do conceito de Controlador a serem seguidos no Brasil.
2. Definições básicas
Controlador de Dados
A LGPD define o Controlador de Dados como o agente “a quem competem as decisões referentes ao tratamento de dados pessoais” (art. 5º, VI), sendo, em nosso entendimento, uma definição bem mais genérica do que a definição europeia. Já a GDPR define Controlador como a entidade que “determina as finalidades“ (o “porquê” do tratamento) e “os meios de tratamento” (o “como” do tratamento).
A definição brasileira pode ser considerada mais confusa por permitir uma interpretação superficial de que qualquer decisão sobre o tratamento já qualifica um agente como Controlador, sendo a atuação do Operador restrita à mera execução dessas decisões. Contudo, tal interpretação não resiste à realidade, pois, em muitos casos, será o Operador quem terá o conhecimento técnico específico sobre como tratar os dados, tomando diversas decisões sobre o tratamento – ainda mais num cenário tecnológico e econômico de descentralização dos serviços de processamento de dados. Nesse sentido, pode-se citar como exemplo a “clássica” relação entre uma empresa e um serviço de banco de dados em nuvem, na qual diversas decisões técnicas sobre a forma de armazenamento dos dados são definidas exclusivamente pelo fornecedor.
Contudo, ao consultar o guia orientativo elaborado pela Autoridade Nacional de Proteção de Dados brasileira (ANPD), já se pode verificar como a definição de Controlador começa a se aproximar do entendimento europeu. A ANPD considera como elementos para qualificação do Controlador a capacidade de (i) “definição da finalidade do tratamento”, e de (ii) definição dos “elementos essenciais relativos ao tratamento” (por exemplo, escolha da natureza dos dados e da duração do tratamento). Assim, aproxima-se do conceito europeu de Controlador, ou seja, quem define a finalidade e os meios de tratamento. Ademais, entende a ANPD pelo guia ser desnecessário para qualificação do agente que “todas as decisões sejam tomadas pelo controlador”.
Operador
Já a definição de Operador entre as legislações é basicamente a mesma, sendo o agente que realiza o tratamento em nome de um Controlador (art. 4(8), da GDPR; e art. 5º, VII da LGPD).
2. Expansão do conceito de “Controlador”
A professora Michèle Fink, da Universidade de Tubingen, entende que o conceito de Controlador de Dados tem sofrido uma expansão gradativa pela jurisprudência e pelas orientações das autoridades regulatórias na União Europeia. Esse processo de expansão ocorre num contexto econômico e técnico no qual passa ser cada vez mais comum a descentralização no tratamento de dados (por exemplo, aumento dos serviços de nuvem e de software as a service – SaaS). Assim, é feita abaixo uma descrição de como importantes julgados do Tribunal de Justiça da União Europeia (TJUE) realizaram essa expansão do conceito de Controlador na UE:
i) Caso C-210/16 – Administrador de página no Facebook
Neste caso, uma empresa de serviços de educação, administradora de uma página no Facebook (fanpage), foi considerada controladora conjunta com a empresa Facebook em relação aos dados pessoais dos membros da página. O raciocínio utilizado pelo tribunal foi o de que o administrador de uma página ao criá-la, promovê-la e ao configurar os parâmetros da audiência buscada permite que o Facebook colete e processe os dados pessoais dos membros da fanpage. Apesar de a administradora da página receber apenas dados estatísticos sobre os membros, o tribunal afirmou que o conceito de controladoria conjunta não requer que cada um dos Controladores tenha acesso aos dados pessoais.
ii) Caso C-25/17 – Pregação por Testemunhas de Jeová
Este caso envolveu a análise das atividades de pregação porta a porta realizadas por testemunhas de Jeová na Finlândia, nas quais eram coletados dados sobre as pessoas visitadas (crenças religiosas, nome, endereço e características familiares). Novamente o tribunal ressaltou que o fato de as informações coletadas serem acessadas apenas pelos membros da igreja que realizavam a pregação, e não pela igreja per si como instituição, não a isentava de ser qualificada como controladora conjunta com membros. Ou seja, o acesso aos dados pessoais novamente não foi um requisito para a definição de Controlador. Assim, o TJUE considerou que a igreja, ao incentivar seus membros e auxiliar na organização da pregação porta a porta, influenciava na determinação das finalidades e meios de tratamento dos dados coletados, mesmo que a instituição não viesse a ter acesso a esses dados.
iii) Caso C-40/17 – Cookies de Terceiros
Neste julgado, uma empresa de venda de roupas online (Fashion ID) foi qualificada como controladora conjunta com o Facebook, por ter inserido em seu website o botão de curtir (plug-in) disponibilizado pela rede social. O plug-in permitia que o Facebook coletasse dados pessoais dos usuários do website, independentemente de terem conta na rede social. Assim, o TJEU julgou que a empresa Fashion ID se qualificou como controladora conjunta para a atividade de coleta e envio de dados pessoais ao Facebook. O TJEU entendeu que a empresa se beneficiava do tratamento, pois conseguia otimizar a publicidade de seus produtos e serviços na rede social do Facebook, sendo assim, uma forma de determinação da finalidade de uso dos dados. Contudo, o tribunal fez a ressalva de que, para as atividades de tratamento do Facebook realizadas após a coleta dos dados pelo website, a Fashion ID não poderia ser considerada uma controladora conjunta, por não ter capacidade de influenciar as finalidades e os meios de tratamento.
A par dos casos listados acima, vê-se como a jurisprudência da UE foi, ao longo do tempo, buscando complementar o conceito legal de Controlador, o que levou a uma expansão do mesmo. A professora Fink entende que essa expansão tem ocorrido sob uma falsa premissa de que, quanto maior for o número de responsáveis pelo tratamento, maior será a proteção dos titulares. Essa premissa estaria errada para a professora, principalmente porque a expansão demasiada do conceito apenas dificulta a responsabilização efetiva dos agentes devido à complexificação das cadeias de tratamento envolvendo muitos Controladores.
3. Como tornar o conceito de Controlador de Dados mais efetivo
A fim de estabelecer um critério mais preciso para a definição de Controlador, Fink sugere que a definição da finalidade do tratamento não deve ser o elemento preponderante a ser analisado, devendo-se verificar conjuntamente a real capacidade do agente de influir nos meios de tratamento dos dados. Para ela, a expansão do conceito de Controlador de Dados tende a enfatizar de forma desequilibrada a capacidade de determinação da finalidade de tratamento.
Assim, Fink sugere que a ênfase da GDPR nos deveres de proteção de dados por design e por padrão (artigos 24 e 25) estabelece que a definição de Controlador pressupõe a capacidade de decidir sistêmica e tecnicamente sobre como os dados serão utilizados. Ou seja, ela vai na contramão do movimento de expansão do conceito de Controlador na UE, cujo enfoque passou a ser cada vez maior na determinação das finalidades do tratamento, em detrimento da definição dos meios. O que se pode verificar, por exemplo, no entendimento do TJEU de que um agente não necessita acessar os dados para ser qualificado como Controlador.
4. Conclusão
A expansão do conceito de Controlador através da jurisprudência e/ou das orientações e normas das autoridades reguladoras pode ser um dos caminhos a serem seguidos pelo Brasil na aplicação da LGPD. Contudo, devido ao pouco tempo transcorrido da entrada em vigor da LGPD e da atuação da ANPD, ainda não se iniciou de forma robusta a delineação das interpretações legais do conceito de Controlador de Dados no país.
Desse modo, é possível que os entendimentos sobre a figura Controlador no Brasil ou tendem a enfatizar a capacidade de determinação da finalidade de tratamento, como vem ocorrendo na UE; ou passem a buscar um certo equilíbrio na verificação da capacidade de determinação dos meios e fins para o uso dos dados. Isso pressupondo que o cenário brasileiro entenda que o trecho legal tomar “decisões referentes ao tratamento de dados” seja interpretado como definição das finalidades e meios de tratamento, conforme já parece entender a ANPD em seu guia orientativo.
Independentemente de qual caminho será seguido no Brasil, é inegável que a semelhança entre a GDPR e LGPD faz com que os entendimentos desenvolvidos na UE sejam uma influência relevante no cenário brasileiro, mesmo que localmente sejam adotadas, ao fim, interpretações distintas da UE.
Leia mais artigos do autor: LGPD – A requisição de direitos como uma forma de vazamento de dado
*Odélio Porto Júnior é formado em Direito pela UFMG, e é graduando em Sistemas de Informação na USP. Faz parte da área de Proteção de Dados Pessoais do Baptista Luz Advogados, tendo também atuado no Instituto de Referência em Internet & Sociedade (IRIS). Realizou cursos de especialização em direito e tecnologia na University of Kent, University of Geneva, e National Law University (Delhi).