Revista Ratio Juris

Artículo de investigación

Doi: 10.24142/raju.v17n35a11

 

É POSSÍVEL A DESQUALIFICAÇÃO DO AGENTE DE TRATAMENTO? UMA ANÁLISE À LUZ DA LEI GERAL DE PROTEÇÃO DE DADOS

 

¿ES POSIBLE INHABILITAR AL AGENTE DEL TRATAMIENTO DE DATOS? UN ANÁLISIS A LA LUZ DE LA LEY GENERAL DE PROTECCIÓN DE DATOS

IS IT POSSIBLE TO DISABLE THE DATA PROCESSING AGENT? AN ANALYSIS IN LIGHT OF THE GENERAL DATA PROTECTION LAW

 

 

Edivaldo da Costa Lima Júnior*
José Rilton Soares da Silva**
Walter de Macedo Rodrigues***
Maria Amália Arruda Câmara****
Matheus Barbosa Rodrigues*****

* Advogado no escritório Leonardo Coelho Advocacia, especialista em direito civil e processo civil e graduando em Sistema para Internet na UNICAP. Atualmente afiliado ao grupo de proteção de dados e privacidade da Liga Pernambucana de Direito Digital. . Orcid: https://orcid.org/0000-0002-6977-742X, Google Scholar: https://scholar.google.com.br/citations?hl=pt-BR&user=-9fdFLUAAAAJ, Correo electrónico: edivaldocostadv@gmail.com.

** Graduado em direito pela Universidade de Pernambuco – UPE (2018). Pós-graduado em Direito Civil e Processo Civil, pelo Centro Universitário Maurício de Nassau (2021). Ex-Integrante da Liga Pernambucana de Direito Digital – Grupo Proteção de Dados (2021). . Orcid: https://orcid.org/0000-0003-2603-0155, Google Scholar: https://scholar.google.com.br/citations?hl=pt-BR&user=XYFtQf8AAAAJ, Correo electrónico: rilton0510@gmail.com

*** Mestrado em Segurança da Informação na Universidade Federal de Pernambuco, pesquisador bolsista na CNPq, professor na pós-Graduação da Faculdade Egas Moniz e Encarregado de Dados. . Orcid: https://orcid.org/0000-0001-7364-338X, Google Scholar: https://scholar.google.es/citations?hl=es&user=-WorMH8AAAAJ, Correo electrónico: Walter.adv@outlook.com.br

**** Professora Adjunta da Faculdade de Administração e Ciências Jurídicas da Universidade de Pernambuco - UPE/Brasil. Sua principal pesquisa é democracia líquida e o uso de tecnologias da informação para fortalecer processos democráticos, especialmente em democracias jovens. Possui doutorado em Ciência Política (2012) pela Universidade Federal de Pernambuco - UFPE/ Brasil, e doutorado em Direito (2010) pela Universidade Federal de Pernambuco - UFPE/Brasil, pela pesquisa em democracia participativa em cenários constitucionais. Orcid: https://orcid.org/0000-0002-7663-3029, Google Scholar: https://scholar.google.es/citations?hl=es&user=hjjEn-VYAAAAJ, Correo electrónico: amalia.camara@upe.br

***** Advogado em assuntos de Privacidade e Proteção de Dados, detentor do certificado PDPE pela Exin. Cursando pós-graduação na Pontifícia Universidade Católica de Pernambuco (nível de mestrado), investigando as interseções entre direito eleitoral e proteção de dados. MBA em Serviços de Saúde e Gestão Hospitalar pela Universidade de Pernambuco. Orcid: https://orcid.org/0000-0002-1607-8449, Google Scholar: https://scholar.google.es/citations?hl=es&user=KZ5d-W5gAAAAJ, Correo electrónico: emaildmatheusadv@gmail.com


Recibido: 23 de marzo de 2021 - Aceptado: 2 de septiembre de 2022 - Publicado: 30 de diciembre de 2022

 

Resumo

O objetivo geral é investigar sobre a desqualificação ou desconsideração dos agentes de tratamento no contexto de determinadas operações de tratamento conjuntas. Visa responder a seguinte pergunta de pesquisa: em quais casos de tratamento conjunto é possível desqualificar o agente de tratamento? O trabalho disserta brevemente acerca dos agentes de tratamento conforme estabelecidos na Lei Geral de Proteção de Dados (lgpd) em comparação com o General Data Protection europeu (gdpr) e outras regulações pertinentes. São estudadas as hipóteses de desqualificação do agente de tratamento previstas na Lei Geral de Proteção de Dados, procedendo com a hermenêutica dos respectivos enunciados normativos. Considerando a ausência de critérios hermenêuticos no Brasil, são considerados os critérios previstos no Órgão Europeu de Proteção de Dados. São usadas as metodologias dogmática, teórica e empírica qualitativa. O artigo oferece uma explicação detalhada do que deveria ser considerado como hipóteses válidas para a desqualificação do controlador e do operador, pautada na legalidade estrita da principal legislação influenciadora da lgpd.

Palavras-chave: privacidade, proteção de dados, desqualificação do agente de tratamento, hipóteses.

Resumen

El objetivo general del presente artículo es el de investigar la descalificación o la negligencia de los agentes de tratamiento en determinadas operaciones. Para lograrlo, se analizan brevemente los agentes de tratamiento según lo establecido en la Ley General de Protección de Datos (lgpd) en comparación con el Reglamento General Europeo de Protección de Datos (gdpr) y otras normas relevantes. Se utilizan metodologías empíricas dogmáticas, teóricas y cualitativas. El artículo ofrece una explicación detallada de lo que debe considerarse como hipótesis válidas para la descalificación del responsable del tratamiento y del operador, con base en la estricta legalidad de la principal legislación que incide en la lgpd.

Palabras clave: privacidad, protección de datos, descalificación del encargado del tratamiento, hipótesis.

Abstract

This article has the main objective of researching the disqualification or negligence of treatment agents in the context of certain joint treatment operations. It aims to answer the following research question: in which cases of joint treatment is it possible to disqualify the treatment agent? The work briefly discusses the processing agents as established in the “Lei Geral de Proteção de Dados” (lgpd) in comparison with the European General Data Protection Regulation (gdpr) and other relevant regulations. The hypotheses of disqualification of the processing agent provided for in the lgpd are studied, proceeding with the hermeneutics of the respective normative statements. Considering the absence of hermeneutic criteria in Brazil, the criteria set out in the European Data Protection Agency are considered. Dogmatic, theoretical and qualitative empirical methodologies are used. The article offers a detailed explanation of what should be considered valid hypotheses for the disqualification of the controller and the operator, based on the strict legality of the main legislation influencing the lgpd.

Keywords: privacy, data protection, disqualification of the treatment agent, hypotheses.

Introdução
Conclusão
Notas
Referencias

 

INTRODUÇÃO

No direito empresarial, o instituto da desconsideração da personalidade jurídica já é bem consolidado nas situações em que existe o interesse da criação da mesma para o cometimento de fraudes como a confusão patrimonial ou quando há o desvio de finalidade daquela declarada na constituição da empresa. De maneira similar a desconsideração da personalidade jurídica, no direito penal, a qualificação de um indivíduo como testemunha, suspeito ou acusado depende de situações de fato e da formalização processual da qualificação do indivíduo. Por sua vez, em contratos, a qualificação das partes depende da vontade de ambos os indivíduos em nomear-se contratante e contratado, designando para si suas respectivas obrigações.

Com o advento da Lei Geral de Proteção de Dados (LgPD), surgiram controvérsias relacionadas a diferentes aspectos da lei, a exemplo da desig- nação de figuras legalmente definidas como a do controlador e do operador (art. 5º, VI e VII da LgPD) ou figuras presentes em legislação estrangeira -o Regulamento Geral de Proteção de Dados (General Data Protection Regulation ou gDPR)- mas doutrinariamente relevantes na formação de contratos fundados no tratamento de dados pessoais -como o co-controla- dor e o operador-. Tais definições legais em contrato acabam por designar obrigações, bem como direitos e deveres em lei descritos, que inclusive tem efeitos para a responsabilização de empresas e indivíduos em casos como vazamento de dados pessoais, mal atendimento ao titular de dados pessoais, entre outras questões.

No que interessa ao presente trabalho, o estudo desta possibilidade de “desqualificação” ou “desconsideração” (neste texto, usados como sinônimos) do agente de tratamento é indispensável, considerando que o contrato assinado pode servir para o cometimento de fraudes, como em declarar que realiza ou não atividade de tratamento de dados pessoais ou de dar ou não ordens de tratamento de dados pessoais para escusar-se ou absorver obrigações ou para o desvio da finalidade do tratamento de dados pessoais, pré-requisito do art. 6º, I da LgPD.

Para isto, este artigo avaliará a razoabilidade da interpretação da possibilidade de desqualificação (ou desconsideração) dos agentes de tratamento com base no direito comparado, observando a aplicação da regulamentação mãe da LgPD (a gDPR), um estudo hermenêutico sistêmico face à leituras da ANDP acerca da norma e a avaliação das consequências da aplicação normativa, mediante observação dos diversos cenários que podem se suceder da sua aplicação. Tais avaliações serão vistas sobre uma ótica da segurança jurídica, nos termos de previsibilidade e frustração ou não de expectativas condensadas no texto normativo. Para isso, será discutida a possibilidade ou não de desqualificação (ou desconsideração) do agente de tratamento de dados pessoais e, se possível, em quais situações isso ocorreria.

QUAIS SÃO OS AGENTES DE TRATAMENTO NA LGPD E SUA CORRELAÇÃO

Na Lei Geral de Proteção de Dados Pessoais, duas designações foram definidas como agentes de tratamento, quais sejam, o Controlador e o Operador, elencados, respectivamente, no art. 5º, VI e VII, LgPD (Presidência da República, 2018). São substantivos que, além de sua notoriedade, não escapam aos desafios hermenêuticos sobre o seu real significado. Uma má compreensão sobre eles pode gerar diversas consequências, atinentes a responsabilidades e deveres a eles associados, citando-se algumas na comprovação do consentimento (art. 8º, §2º), na obrigação de comunicação de incidentes de dados pessoais à Autoridade Nacional de Proteção de Dados Pessoais - ANPD (art. 48 da LgPD) ou na responsabilidade de reparação por danos decorrentes de atos ilícitos, como nos casos dos arts. 42 a 45 (Governo Brasileiro, 2021b).

O inciso VI do art. 5º, LgPD (Presidência da República, 2018) define a figura do controlador como “a pessoa física ou jurídica a quem compete as decisões referentes ao tratamento de dados pessoais”. Por sua vez, o art. 5º, VII da LgPD fixa que o operador é “a pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador” (Presidência da República, 2018). O ponto de vagueza da norma concentra-se então na definição da “competência da decisão das decisões referentes ao tratamento”, visto que um operador pode realizar tratamento de dados intermediários para poder garantir que um tratamento de dados final seja atingido.

Por exemplo, um controlador instituição financeira “decida” que um conjunto de CPF tenham a si associados dados cadastrais atualizados (como definido pelo art. 2º, III do Decreto nº 10.046/19), para fins de cumprir com a determinação do art. 14, parágrafo único da Resolução nº 2025 do BACEN. Digamos que o controlador então delegue a um operador de dados pessoais que haja então a operação de tratamento de busca por estes dados atualizados. Neste caso, a decisão do controlador é que haja a atualização de dados cadastrais e de fato, compete a ele esta decisão de cumprimento de obrigação regulatória do controlador, fundada no art. 5º, II da LgPD. Porém, o operador, neste caso, deve então realizar diversas atividades de tratamento com fundamento nesta hipótese de adequação colaterais, seja a coleta, armazenamento, combinação e envio desta informação. Ora, aquele que deu a ordem de tratamento de dados pessoais fora o controlador, justamente aque- le que “compete as decisões referentes ao tratamento de dados pessoais” mas, o operador, ao tomar todas as decisões sobre como aquela operação de tratamento está sendo realizada, acabaria por tomar para si a responsabilidade do tratamento?

Outro exemplo seria o uso de uma ferramenta de cloud computing (computação em nuvem). Digamos que o controlador seja um estudante que queria coletar informações de seus amigos para enviar para um restaurante onde haverá uma festa fechada. As informações coletadas podem ser dados pessoais (como nome e CPF para identificação), como data de nascimento para diferenciar se são menores de idade ou não, ou até informações acerca de alergias (informações de saúde, ou dados pessoais sensíveis, como qualificado pelo art. 5º, II da LgPD) e colocá-los todos para armazenamentos num serviço de cloud computing. Esta empresa que está armazenando esses dados pessoais e dados pessoais sensíveis, se não tiver os controles necessários, pode sequer saber que está inclusive armazenando dados pessoais sensíveis. Por sua vez, o controlador, que no nosso exemplo é um estudante, não sabe que por trás do processo de armazenamento em nuvem está acontecendo a cópia e transferência distribuída das informações enviadas em dispositivos de armazenamento fora do país, o que implica em transferência internacional de dados pessoais.

Surge então a pergunta - considerando que a decisão do operador de dados pessoais de realizar a transferência internacional de arquivos foi de sua volição de maneira única, deveria este então ser agora considerado o controlador dos dados? Isto porque a definição “a competência de decisões referentes ao tratamento”. Neste caso, estaria o operador extrapolando as suas competências? Quanto às operações de manutenção de banco de dados, como segregação, backup, classificação - todas estas operações de tratamento - estariam por tornar automaticamente um operador de dados pessoais um controlador?

Neste caso, o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado” (Governo Brasileiro, 2021b), elaborado pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), destaca que nem todas as decisões acerca do tratamento de dados pessoais deve ser encargo do controlador, destacando:

16. A identificação do controlador deve partir do conceito legal e dos parâmetros auxiliares indicados neste Guia, sempre considerando o contexto fático e as circunstâncias relevantes do caso. O papel de controlador pode decorrer expressamente de obrigações estipuladas em instrumentos legais e regulamentares ou em contrato firmado entre as partes. Não obstante, a efetiva atividade desempenhada por uma organização pode se distanciar do que estabelecem as disposições jurídicas formais, razão pela qual é de suma importância avaliar se o suposto controlador é, de fato, o responsável pelas principais decisões relativas ao tratamento [grifo nosso] (Governo Brasileiro, 2021, p. 7).

Assim, fica destacado que o que é determinante para a qualificação do controlador de dados pessoais é na verdade se este é responsável pelas “principais decisões relativas ao tratamento de dados pessoais” e não todas as decisões. Isto é reforçado na mesma cartilha quanto a qualificação do que é o operador de dados pessoais, como pode ser visto a seguir: “49. O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada” (Governo Brasileiro, 2021b, p. 16).

Aqui, a determinação do papel do operador é relacionada a realização do tratamento de dados pessoais “em nome do controlador” e “conforme a finalidade por este determinada”. A primeira parte da definição remonta àquela dada pelo art. 5º, II da LgPD, enquanto a segunda parte faz referência direta a gDPR, que por sua vez define o controlador e operador de dados pessoais da seguinte maneira:

7. “controlador” significa a pessoa natural ou jurídica, autoridade pú- blica, agência ou outra autarquia que, sozinha ou em conjunto com outras, determine a finalidade e meios do tratamento de dados pes- soais [...]

8. “operador” significa a pessoa natural ou jurídica, autoridade pública, agência ou outra autarquia que trate dados pessoais em nome do controlador (Governo Brasileiro, 2021b, p. 6) [grifos nossos]. 1

Logo, a determinação da finalidade é um contorno dado tanto pela Guia Orientativa da ANPD quanto pela gDPR. Tal determinação da finalidade consiste justamente na ordem de tratamento, que pode vir muito ou pouco detalhada pelo controlador é dada ao operador. O operador, por sua vez, tem a obrigação de execução desta ordem de tratamento (caso seja lícita), coisa que também deve ser conferida ao se indagar, dentre de outras questões legais específicas, se a finalidade se encaixa numa das hipóteses de tratamento de dados pessoais constantes no art. 7º da LgPD.

Considerando que nem todos os “meios de tratamento” ou detalhes acerca de tratamento dos dados pessoais podem contratualmente serem determinados, é razoável que, de maneira distinta a finalidade, os meios pelos quais operações de tratamento venham ser conduzidas por um dos agentes de tratamento não sejam determinantes na qualificação do operador ou controlador - exceto nas circunstâncias em que a lei versa ou contratualmente é pactuado. Não só isto, mas existe o destaque que os segredos comerciais e industriais dos agentes de tratamento devem ser observados, inclusive nas ações de comunicação à agência reguladora e aos titulares de dados pessoais, como versam os art. 20 e art. 38 da LgPD. A total transparência de como são realizadas as operações de tratamento de dados pessoais, especialmente por operadores cujo modelo de negócio se fundam no tratamento de dados pessoais de maneira cada vez mais eficiente, é ir de contra ao enunciado do próprio princípio da transparência da LgPD, que determina que sejam “observados os segredos comercial e industrial” (art. 6º, VI da LgPD).

Por derradeiro, quanto à figura do operador, vale consignar, para além de cumprir as determinações do controlador, que esse diferencia-se dos seus representantes ou funcionários. Isso porque, recorrendo-se ao art. 49-A, caput, Código Civil de 2002 (CC/02; Brasil, 2002), a pessoa jurídica não se confunde com seus sócios, associados, instituidores ou administradores. Assim, muito menos a empresa pode ser confundida com seus colaboradores. Mesmo assim, operadores de dados pessoais podem ainda delegar o tratamento de dados pessoais a outros, cumprindo sempre a obrigação legal de comunicação ao controlador, como descrito no §52 do Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, que referencia o art. 28, 2 da gDPR.

Esta situação não pode então se confundir com o disposto no art. 42, § 1º, II, LgPD, bem como encontrado no Guia Orientativo da ANPD, que prevê a possibilidade de figurar o controlador conjunto, o qual, recorrendo-se ao art. 26, gDPR, para fins de definição, pode ser entendido como a situação fática em que dois ou mais indivíduos ou pessoas jurídicas compartilham a tomada de decisões referentes ao ciclo de vida dos dados pessoais. Como exemplo, podemos entender quando o banco e a operadora de cartões de crédito compartilham dados pessoais de titulares para fins de efetuar operações de pagamento. Também seria o caso do plano de saúde e do hospital, quando ambos compartilham informações acerca do titular de dados pessoais para a realização de uma requisição de exame. Sem a decisão de uma das partes, a operação de tratamento não ocorreria, independente da contratação de terceiros para a sua realização.

É importante também esclarecer que o operador não é obrigatório no tratamento, diferentemente do controlador. Isto pode ser o caso, inclusive, quando um software é fornecido para o tratamento de dados pessoais, o que não qualifica automaticamente o autor do software como operador. Contudo, a prática do dia a dia em todos os organismos que coletam dados tem sido cada vez mais utilizarem ferramentas de software as a service (SaaS) 2 relacionada ao tratamento de dados, como é o caso do uso de nuvens de armazenamento e etc. Em outras palavras, o operador fornece o software e, dessa forma, precisa participar diretamente do tratamento. Sendo assim, o operador, neste cenário, se torna indispensável aos processos de proteção e privacidade de dados.

Em resumo, é o posicionamento deste artigo que o que derradeiramente diferencia o controlador do operador de dados pessoais é quem dera a ordem de tratamento. Para tais fins, não importa se o operador de dados pessoais tinha as informações objeto da ordem de tratamento em primeiro lugar, se a ordem de tratamento dada pelo operador de dados pessoais não dera detalhes de como ela tinha sido realizada e se esta ordem de tratamento fora dada por um indivíduo dentro de uma pessoa jurídica que celebra o contrato onde a ordem de tratamento é realizada. Da mesma forma, o operador é o responsável pelo cumprimento da ordem de tratamento, não sendo de outro modo somente porque teve alguma liberdade de decidir como a ordem de tratamento seria dada, em especial quando o controlador não descreve como a ordem de tratamento dada deve ou deveria ser realizada, ainda mais quando a competitividade do operador como o fornecedor de serviço de tratamento de dados pessoais depende de seus segredos comerciais e industriais. O co-controlador seria qualificado caso a ordem de tratamento partisse de maneira conjunta de dois ou mais agentes de tratamento e o sub-operador figura meramente o operador que “quarteiriza” a ordem de tratamento inicialmente dada à ele, naturalmente isto sendo comunicado ao(s) controlador(es).

Definidos os conceitos dos agentes de tratamento, parte-se, de pronto, para a análise dos dispositivos normativos correspondentes, recorrendo-se, para tanto, às metodologias dogmática e teórica, se existem situações em que os agentes de tratamento possam ou devem ser desqualificados e requalificados, dentro das definições anteriormente expostas.

AS HIPÓTESES DE DESQUALIFICAÇÃO DOS AGENTES DE TRATAMENTO

No presente tópico serão analisadas as hipóteses previstas na LgPD de desqualificação do agente de tratamento, bem como circunstâncias em que o cabimento desta desqualificação faz-se legalmente importante. É notório que, dada as definições antepostas, bem como as responsabilidades que podem estar associadas a cada uma das figuras (trazidas pela lei ou não) a desqualificação (ou desconsideração) do agente de tratamento é uma medida disponível ao juiz em alguns casos. Será observado que, legalmente, existem casos que são previstos pela lei dos quais a desqualificação possa acontecer. Em outros, não definidos em lei, será demonstrado com fundamento na metodologia proposta que seria razoável por parte do magistrado a desqualificação dos agentes de tratamento como eventualmente possa ser alegado.

Desqualificação em caso de descumprimento das obrigações da legislação e instruções lícitas do controlador (art. 42, § 1º, I, lgpd)

O art. 42, § 1º, I, LgPD (Presidência da República, 2018) assim disciplina a responsabilidade civil por danos em atividades de tratamento de dados pessoais:

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei (Presidência da República, 2018) [grifo nosso].

Neste artigo, é possível observar que “o operador … equipara-se ao controlador” nos casos em que “descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do con- trolador”. Na segunda situação listada pela lei, é evidente que se a ordem de tratamento dada pelo controlador de dados pessoais é descumprida, o operador de dados pessoais estaria dando ordem de tratamento distinta. O descumprimento da ordem de tratamento está fundado justamente na finalidade do tratamento, sendo que o operador não pode arguir que se os dados estão sendo tratados de forma distinta àquela finalidade atribuída pelo controlador, que a operação de tratamento realizada é derivada daquela atribuída pelo controlador de dados pessoais. Também pode ser o caso do controlador de dados pessoais ter dado uma ordem de tratamento que tenha de ser realizada de uma maneira que o operador preferira não realizar, o que acontece em violação do contrato, liberalidade que não pode ser conferida ao operador, visto que o controlador tem sim o direito de determinar como o tratamento de dados pessoais deve ser realizado. Neste caso, a liberdade contratual das partes permite que o operador se recuse a participar de contrato em que o controlador especifique a maneira como o tratamento deve ser realizado. Não sendo assim, no descumprimento do operador de especificações, este mais uma vez seria equiparado como controlador.

Fora aquilo que não é especificado, não é razoável considerar que todo detalhe acerca do tratamento de dados pessoais deva ser em contrato detalhado, considerando que muitas vezes nem o próprio controlador consegue entender detalhes técnicos acerca do tratamento de dados pessoais. Como já especificado nas definições de cada agente de tratamento, o problema central está no descumprimento de uma ordem de tratamento e não do cumprimento de uma ordem de tratamento de uma maneira não especificada. Da mesma maneira, acontece que o operador que descumpre com a lei de qualquer maneira (obrigações da legislação), estaria então assumindo para si o risco do tratamento ilícito, situação em que responderá solidariamente pelas sanções cabíveis e danos causados. Por isso, o operador de dados pessoais tem o dever de descumprir as ordens ilícitas de tratamento de dados pessoais do controlador.

Em todas as situações descritas, o operador de dados pessoais deve ser processualmente equiparado ao controlador, situação em que este será desqualificado de operador para controlador, considerando que este agiu como tal. Desta maneira, todas as demais obrigações de controlador lhe serão conferidas, como elaboração de relatório de impacto para estimar os danos à privacidade e proteção de dados causados ou comunicação aos titulares de dados pessoais acerca de possíveis questões relacionadas ao tratamento de dados pessoais. É importante lembrar que, estas obrigações este agente poderá arcar solidariamente ou sozinho, a depender de como seja avaliada a responsabilidade do controlador de dados pessoais.

Destaca-se também que a lei fala em “equiparação” em vez de “desqualificação”. Há também o argumento de que a equiparação serve no sentido de não escusar o operador de dados pessoais das demais obrigações para com o controlador, tendo em vista que ele não deixa de tê-las, apesar do tratamento ilícito ou do descumprimento da ordem de tratamento lícita. Não obstante, é importante ressaltar que o operador de dados pessoais, neste caso, será necessariamente controlador daquela operação de tratamento realizada sem a ordem de tratamento lícita do controlador. Por outro lado, este não pode ser responsabilizado por uma ordem ilícita de tratamento realizada pelo controlador de dados pessoais.

Por exemplo, se o controlador é uma empresa de pede a um instituto de pesquisa que faça uma avaliação acerca da opinião política dos funcionários com a finalidade de realizar “medidas disciplinares específicas aos funcionários”, sem o consentimento específico dos funcionários, é evidente que o tratamento de dados pessoais é ilícito, pois tal finalidade não é adequada a nenhuma das disposições do art. 11º, II da LgPD. O instituto de pesquisa que realiza este tratamento de dados pessoais, sabendo desta finalidade, estaria então ativamente transgredindo a lei, compartilhando então a responsabilidade sobre os danos causados a funcionários. Por outro lado, se este instituto de pesquisa é comunicado que a finalidade do tratamento é fundada no consentimento, não seria razoável que este fosse responsabilidade pelo tratamento ilícito do operador.

É sabido que o mesmo instituto de pesquisa possa requerer provas do consentimento especial do art. 11º, I da LgPD ou que ainda proceda em realizar técnicas de anonimização dos dados no processo de pesquisa -o que acabaria por descaracterizar os dados coletados como dados pessoais, por não estarem relacionados a pessoa natural identificada ou identificável-. Mas, um agente de tratamento de má fé, pode ativamente realizar por si só desvio de finalidade sobre o tratamento de dados pessoais contratado ao operador, usando as atividades de tratamento do operador como meios para atingir fins ilícitos, sendo este o controlador como no exemplo, podendo também ser operador que realiza desvirtua a ordem de tratamento para a realização de finalidade distinta, ou o faz de maneira como não é ordenada. Também por isso, é importante considerar que o que de fato acontece é uma desqualificação do agente de tratamento, não só porque este toma um papel para si como não lhe fora conferido no caso do operador, como ele também passa a atuar como controlador de dados pessoais, já que este está adotando as próprias ordens de tratamento.

Desqualificação do agente de tratamento de dados pessoais no caso deste ter sido imputado a colaborador da organização

De maneira bastante clara, a Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado define no seu §57 e 58 que:

57. Em caso de pessoa jurídica, importa destacar que a organização ou empresa é entendida como agente de tratamento, de forma que seus funcionários apenas a representam. Assim como explicado no tópico 2.2 e de forma análoga à definição de controlador, a definição legal de operador também não deve ser entendida como uma norma de distribuição interna de competências e responsabilidades.

58. Nesse cenário, empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta não devem ser considerados operadores, tendo em vista que o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos (Governo Brasileiro, 2021b, p. 17).

Logo, torna-se claro que colaboradores não devem ser considerados como agentes de tratamento de dados pessoais. Os agentes de tratamento num contrato de tratamento de dados pessoais ficam evidentes não só na qualificação das partes celebrantes do contrato (se é uma pessoa jurídica ou não), como também se o funcionário de determinada empresa celebra pela empresa o contrato de tratamento de dados pessoais como um laranja. Na LgPD, apesar de não existir nenhuma determinação acerca deste assunto a serem contemplados no contrato, ele se torna importante como boa prática a ser adotada, principalmente na tentativa de formalização das responsabilidades e redução de expectativas. A gDPR em específico define no seu art. 28 da gDPR tal necessidade, contrato onde vem estar qualificados os agentes de tratamento, listada a finalidade, listadas as obrigações do agente de tratamento entre si, bem como para com o titular.

Já dentro da própria empresa, o processo de responsabilização do co- laborador depende da Política de Governança em Privacidade, documentação prevista como instrução do Programa de Governança em Privacidade, realizado pelo governo digital brasileiro Governo Brasileiro, a partir do Guia de Elaboração de Programa de Governança em Privacidade (Governo Brasileiro, 2020). Desta maneira, o colaborador como parte da empresa, ou como já define a ANPD na sua Guia Orientativa como representante da empresa, seus deveres e obrigações são para com a empresa, os órgãos administrativos e judiciário responsáveis pela garantia dos direitos dos titulares de dados pessoais e por último, mas não menos importante, o titular de dados pessoais. O colaborador então deve ser responsabilizado pela empresa pelo descumprimento de determinações internas de maneira dolosa, por situações de imperícia, negligência ou imprudência, mas não seria ele o tomador de ordens de tratamento de dados pessoais para si, mas sim pode ser então responsabilizado caso descumpra ou não cumpra de maneira devida funções parte de uma ordem lícita de tratamento de dados pessoais.

Aqui diferenciando as situações em que os tomadores de serviço são MEI, SLU e profissionais liberais de informática como pessoa jurídica, casos que serão posteriormente avaliados, os colaboradores então não podem ser “qualificados” como agentes de tratamento, pois não são agentes de tratamento em primeiro lugar. Devem ser, portanto, desqualificados como agentes de tratamento caso sejam assim nomeados. As empresas que usufruem destes contratos, por sua vez, devem ser apontadas como os reais controladores e operadores de dados pessoais do relacionamento.

Alguns casos de nomeações inadequadas destes Agentes de Tratamento puderam ser vista vistos, como no caso do Ministério Público do Estado do Rio Grande do Sul, que em 26 de Agosto de 2020, através do Provimento nº 68/2020 (MPRS, 2020), em seu artigo sexto, determinou que os operadores de dados pessoais seriam os membros, servidores e estagiários da Instituição. Este tipo de determinação não se deu exclusivamente no Ór- gão Ministerial citado, mas o comportamento tem sido replicado entre Tribunais de outros Estados. Em 22 de Setembro de 2020, foi a vez do Tribunal de Justiça de São Paulo assinar, através da publicação da Portaria assinada pelo presidente do Tribunal de Justiça de São Paulo, no art. 16, definir as regras de tratamento de dados pessoais deste tribunal, designando que os provedores de serviços de Tecnologia da Informação e Comunicação contratados serão considerados Operadores dentro do Órgão.

Até mesmo o lugar de origem da promulgação da lei, não escapou aos equívocos interpretativos sobre quem deveria ser os Agentes de Tratamento. Em 02 de Setembro de 2020, foi a vez do Tribunal de Justiça do Distrito Federal e dos Territórios, através da publicação da Resolução nº 09 (TJDFT, 2020) - Instituir a Política de Privacidade dos Dados das Pessoas Físicas. No seu artigo 5º quinto ficou definido que o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais -CgSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal-.

O CNJ, em janeiro de 2021, após notícias desta natureza, publicou a Resolução 363 de 12 de janeiro de 2021, definindo medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos Tribunais (CNJ, 2021), todavia isso não foi impedimento para que interpretações equivocadas acerca dos Agentes de Tratamento continuassem sendo replicadas. Ainda destacamos o Tribunal Regional do Trabalho da décima sexta região, através da portaria gP Nº 20/2021, em 21 de fevereiro de 2021, em seu artigo primeiro definiu o exercício da função de controlador para o Presidente do Tribunal, replicando, mais uma vez, as mesmas concepções dos demais exemplos.

Seguindo a lógica de repartição por hierarquia, se alguém ocupa o cargo de Juiz dentro de um Tribunal, este deveria figurar como Controlador enquanto os funcionários, estagiários e congêneres seriam os Operadores. Todavia, quem faz esse exercício hermenêutico errôneo durante a definição dos Agentes de Tratamentos, ignoram a dinâmica do dia a dia destas pessoas, ignorando, inclusive, as exigências que a própria lei impõe a estes cargos e como isto pode ser conflitante nas funções destes agentes. Em consectário lógico, caso os Juízes dos Tribunais fossem mantidos como Controladores, por exemplo, caberia também a eles fazerem relatórios de impactos; comprovar consentimentos dos titulares; realizar comunicações de incidentes de vazamentos de dados; a realização de due diligence; ser citado nominalmente nas ações judiciais que envolvem os respectivos vazamentos; responder solidariamente a respeito dos danos oriundos disto; e demais obrigações que demonstram o quão esse raciocínio é impraticável no mundo real. Sendo cada vez mais evidente que a determinação dos Agentes de Tratamento não é definida pela mera função empresarial ou nomeação pública que alguém tem, mas é necessário analisar se esta pessoa, dentro de suas atribuições, realiza efetivamente tratamento de dados pessoais.

Casos como esses, ocorridos a partir do segundo semestre de 2020, expuseram um inicial desentendimento por parte inclusive do judiciário face ao que seria a melhor interpretação da norma. Neste cenário, pode-se recorrer a conceitos já consolidados nas diretrizes anteriormente citadas e publicadas pela Autoridade Europeia de Proteção de dados (European Data Protection Supervisor, Autori - EDPS), desde de 07 de Novembro de 2019, já tinha publicado uma série de diretrizes e conceitos que auxiliam na identificação dos agentes de tratamento dentro da gDPR, ajudando na definição e atribuição de responsabilidades dos agentes, teve o seu conteúdo inclusive replicado na Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado (Governo Brasileiro, 2021b), aqui referenciada.

Estes Agentes de Tratamento descritos por nossa Lei Geral de Proteção de Dados também não devem ser confundidos com a figura do encarregado. Este último, previsto no art. 5º, inciso VIII, da LgPD, em síntese, possui uma função designada por outrem a partir de uma nomeação, enquanto os agentes de tratamento são identificados nos processos a partir das atribuições que já desempenhavam. O encarregado de dados tem uma função de fiscalização, sendo que a participação em qualquer função dentro da empresa que esteja associada com uma ordem de tratamento pode ser tratada como indevida. O encarregado de dados, como define a lei, também não é um agente de tratamento de dados pessoais, como visa o art. 5º, IX da LgPD.

Desqualificação do agente de tratamento de dados pessoais com fundamento nas questões de fato

Como já dito, na gDPR, existe a obrigatoriedade da formulação de um contrato nas circunstâncias em que há uma ordem de dados pessoais do controlador para o operador, como também há riscos jurídicos relacionados à não confecção desses. Na legislação brasileira não existe menção da redação do contrato, mas a sugestão da redação deste tem sido observada como parte de medidas de boas práticas em projetos de adequação. Pode-se dizer então que é ideal que também estes tipos de contratos sejam celebrados inclusive entre sub-operadores do tratamento, ainda entre co-controladores, a fim de melhor elucidar eventuais questionamentos sobre o tratamento e finalidade dentro de uma mesma operação de tratamento de dados pessoais.

Neste cenário, havendo sempre a possibilidade de que aconteçam equívocos nas nomeações dos agentes de tratamento, o Brasil tem encontrado apoio somente nos guias orientativos. A busca para fornecer um modelo-base para identificação dos agentes de tratamento e sua dinâmica relacional também é melhor conduzida à medida que a Autoridade Nacional de Proteção de Dados continue protagonizando este debate nos seus aspectos fundamentais, considerando que, por mais elucidativas que sejam suas resoluções, sempre haverá espaço para constante aperfeiçoamento e adaptação desses agentes a cada contexto que estejam inseridos. Porém, isto não vai de maneira alguma limitar o exercício da liberdade de livre contratação e bem confecção dos contratos de tratamento de dados pessoais, considerando que estes não têm forma solene e que uma das partes pode atuar de má fé.

Um agente de tratamento pode contratualmente, especialmente face a um outro agente de tratamento economicamente inferior, utilizar da sua posição privilegiada para garantir contratos em que este se escusa de certas obrigações pelas cláusulas em contrato definidas, especial nos casos em que ele prefere assumir determinado papel como agente de tratamento para evitar responsabilidades legais. Isto pode acontecer quando o controlador pede para assumir contratualmente a postura de operador, apesar de dar a ordem de tratamento ou pede para que o operador assuma a posição de co-controlador. Uma empresa de grande porte, que economicamente são as que têm mais força tanto no mercado, quanto politicamente, podem possivelmente influenciar e garantir para com agentes de tratamento de menor porte a celebração de contratos onde adotem de cláusulas contratuais em que estes absorvam deveres e cedam direitos subjetivos e potestativos.

Outra circunstância é quando a empresa controlador de dados pessoais prefere re-contratar um colaborador ou contratar um colaborador como MEI (Micro Empreendedor Individual) ou SLU (Sociedade Limitada Unipessoal), pessoas jurídicas em que figuram somente um indivíduo, reflexo muitas vezes de situações de precarização das relações trabalhistas em vez de realmente indivíduos empreendendo de maneira autônoma (Ribeiro, 2022). Estes casos são especialmente interessantes para a contratação de agentes de tratamento de grandes empresas, especialmente porque a ANPD publicara a Resolução CD/ ANPD nº 2, que flexibiliza uma série de normas da LgPD para agentes de tratamento de pequeno porte. Nesta circunstância, a responsabilização de tais agentes, cuja responsabilidade pelo seu tratamento é limitada normativamente devido à sua condição econômica, pode ser de resolver um problema de ordem caso agentes de tratamento de grande porte imputem a estes suas obrigações e deveres.

No que tange, a CD/ANPD Nº 2/2022, merece atenção no sentido de a flexibilização para os microempreendedores, e para facilitar para os agentes de tratamento, trazendo a definição sobre o aspecto da aplicação da LgPD, e dessa forma, para ter cautela sobre ‘o tratamento de alto risco, vide art.4º e seus incisos, traz o conceito “cuidado” em atenção ao tratamento de dados pessoais e sensíveis que possam afetar interesses e direitos fundamentais dos titulares de dados, para que não ocorra danos materiais ou morais, em larga escala, o qual venha ascender a um maior número de usuários, uso de novas tecnologias, e também se houver qualquer característica sobre vigilância ou controle de zonas acessíveis ao público, dando a sensação que, ao se deparar com essa resolução, percebe-se que existe um aproveitamento sobre as obrigações do agente de tratamento da empresas de pequeno porte quando há a responsabilidade sobre a titularização deles classificados como agentes de tratamento de pequeno porte, uma vez que, ficam resguardadas em grande parte de responsabilidade, quando pode pôr em risco o tratamentos de dados.

Comentando o Art. 29 wP, na Opinion 1/2010, a professora Viviane Maldonado (Nóbrega & Opice, 2019) relembra algumas considerações que ajudam na identificação do controlador, em três tipos de natureza. A primeira delas seria o controlador decorrente de competência legal explícita; seria quando a legislação expressamente o nomeia. O segundo seria o controlador decorrente de competência legal implícita, ou seja, as funções usuais da entidade o determina. Por último, seria o controlador oriundo de uma influência concreta; sendo aqueles que avaliam as circunstâncias de cada caso para sua identificação. Para esta, o que seria fundamental para identificação do controlador é essencialmente determinar quem dá a ordem de tratamento de dados e quem está executando a ordem de tratamento - ou seja, questões de fato, ou uma influência concreta na operação de tratamento.

CONCLUSÃO

O desevolvimento de uma cultura de proteção de dados no Brasil encontra diversos tipos de desafios ante a ausência deste tipo de preocupação ter sido mais internalizada no dia-a-dia dos brasileiros. Tais problemas se acentuaram ainda mais em razão da nossa atual hiperconectividade com os meios de comunicação que utilizamos diariamente. Dificuldade quanto à análise destes Agentes é fruto da forma simbiótica das atribuições designadas ao Controlador e Operador, e, por possuírem competências e atribuições inter-relacionadas, por vezes natural que haja confusões sobre qual o papel que cada um destes agentes deve desempenhar. Para isso, o contrato ou a declaração de determinado agente tratamento das figuras de controlador e operador não devem se sobressair à realidade fática, garantindo uma melhor aplicação da lei. Assim como nos demais ramos do Direito Digital, a interpretação acerca da norma e a sua aplicação desassociada de uma observação técnica da norma jurídica tem efeitos negativos automáticos, natureza própria do ciberespaço e seus fenômenos, o que torna a experiência empírica do direito mais tangível e ao mesmo tempo os danos possíveis a serem causados pela má aplicação da norma jurídica também mais facilmente sentidos. A Lei Geral de Proteção de Dados, de descendência do Regulamento Geral de Dados Pessoais, reflete a preocupação da legislação mãe de garantir o direito dos titulares de dados pessoais e, para isso, atribuir responsabilidades e obrigações de maneira clara e distinta a agentes de tratamento que desempenham papéis relevantes e distintos no tratamento de dados pessoais. Num ambiente em que a computação ubíqua é uma realidade cada vez mais sólida, o tratamento de dados pessoais acaba se tornando extensivo e generalizado. A escolha legislativa de regular o tratamento de dados pessoais de acordo com os tipos dados tratados e as hipóteses específicas de tratamento visa garantir que efeitos negativos sejam controlados pela raiz-pelo tratamento de dados pessoais em primeiro lugar - e não na tentativa de delimitar e responsabilizar os agentes de tratamento de acordo com os efeitos/resultados do tratamento. A expectativa condensada na norma é de que o tratamento inadequado de dados pessoais seja qualificado então pela tomada de decisão do tratamento em primeiro lugar, em vez de tentar compreender a extensão da eficiência do tratamento de dados em produzir os efeitos indesejados.

NOTAS

1. Tradução livre do trecho: “‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller” (art. 4, 7 e 8 da gDPR).

2. Software como serviço”’, em uma tradução livre, é um modelo de licenciamento e entrega de software no qual o mesmo é licenciado por assinatura e é hospedado centralmente. SaaS também é conhecido como “software sob demanda” e software baseado na Web/hospedado na Web.

 

REFERENCIAS

Autoridade Nacional de Proteção de Dados Pessoais Brasil (ANPD). (2021). Planejamento Estratégico (2021-2023). https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/planejamento-estrategico/planejamento-estrategico-2021-2023.pdf.

Barretto, R., Brancher, P., Taliberti, C. & Kooketu, V. (2018). Entra em vigor o Regulamento Geral de Proteção de Dados da União Europeia. https://www.migalhas.com.br/depeso/281042/entra-em-vigor-o-regulamento-geral-de-protecao-de-dados-da-uniao-europeia.

Bioni, B. & Monteiro, R. (2016). O Brasil caminha rumo a uma Lei Geral de Proteção de Dados Pessoais? https://brunobioni.com.br/blo-g/2016/05/25/o-brasil-caminha-rumo-a-uma-lei-geral-de-protecao-de-dados-pessoais/

Bioni, B. (2019a). Calibrando o filtro da razoabilidade: critérios objetivos e subjetivos como fatores de uma análise de risco. https://brunobioni.com.br/home/wp-content/uploads/2019/11/BIO001-timbrado-2.pdf.

Bioni, B. (2019b). Proteção de Dados Pessoais-A Função e os Limites do Consentimento. Editora Gen.

Conselho Nacional De Justiça (CNJ). (2021). Resolução 363, de 12 de janeiro de 2021. Atos. 2021. https://atos.cnj.jus.br/atos/detalhar/3668.

Dizer o Direito - Jurisprudência Comentada (2018). Lei 13.709/2018: Lei Geral de Proteção de Dados Pessoais. https://www.dizerodireito.com.br/2018/08/lei-137092018-lei-geral-de-protecaode.html?m=1.

Doneda, D. (2019). Da Privacidade À Proteção De Dados Pessoais. Revista dos Tribunais.

Donda, D. (2020). Guia Prático de Implementação da LgPD. Editora Labrador.

European Data Protection Supervisor (2018a). Concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725. https://edps.europa.eu/data-protection/our-work/publications/guidelines/concepts-controller-processor-and-joint_en.

European Data Protection Supervisor (2018b). Opinion 1/2010 on the concepts of “controller” and “processo”. https://ec.europa.eu/justice/arti-cle-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf.

Governo Brasileiro (2020). Guia de Elaboração de Programa de Governança em Privacidade. https://www.gov.br/governodigital/pt-br/segu-ranca-e-protecao-de-dados/guias/guia_governanca_privacidade.pdf.

Governo Brasileiro (2021a). ANPD abre consulta pública e inscrições para audiência pública sobre norma de aplicação da LgPD para microempresas e empresas de pequeno porte. https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-consulta-publica-e-inscricoes-para-audien-cia-publica-sobre-norma-de-aplicacao-da-lgpd-para-microempresas-e-em-presas-de-pequeno-porte.

Governo Brasileiro (2021b). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. In Agência Nacional de Proteção de Dados. https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf.

Graves, F. & Gabriel, G. (2020). Right to Not Be Forgotten (Some- times): Celebrity Privacy Rights in a Data-Driven World (November 20, 2020). Landslide® Magazine, 13(2), https://ssrn.com/abstract=3744484 or http://dx.doi.org/10.2139/ssrn.3744484.

How to set up data sharing agreements (2022). Talend. https://www.talend.com/resources/gdpr-set-up-data-sharing-agreements/.

Information Commissioner’s Office (2022a). Data sharing: a code of practice. https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/data-sharing-a-code-of-practice/#:~:text=We%20have%20written%20this%20Data,data%20while%20protecting%20peo-ple’s%20privacy.

Information Commissioner’s Office (2022b). ICO gDPR guidance: Contracts and liabilities between controllers and processors. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-da-ta-protection-regulation-gdpr/.

Lopes, A. & Serrat, C. (2020). Requisitos para definição dos agentes de tratamento de dados pessoais. https://www.jota.info/opiniao-e-analise/artigos/requisitos-para-definicao-dos-agentes-de-tratamento-de-dados-pessoais-22082020.

Ministério Público do Rio Grande Do Sul (MPRS). (2020). Provimento N. 68/2020-PgJ. 2020. https://www.mprs.mp.br/legislacao/provimentos/14204/.

Monte, D. & Moura, R. (2020). Descomplicando: Agentes de tratamento. https://www.migalhas.com.br/depeso/326741/descomplicando--agentes-de-tratamento.

Motta, L. (2021). Análise multijurisdicional de aquisições centradas em dados: diagnóstico atual e propostas de política pública para o Brasil. https://www.dataprivacybr.org/wp-content/uploads/2021/05/dpbr_relato-rio_data_driven_mergers_vf.pdf.

Nóbrega, V. & Opice, R. (Coords.). (2019). LgPD - Lei Geral de Pro- teção de Dados Comentada. Ed. Revista dos Tribunais.

Opice, B. (2020). General Law of Data Protection in 16 infographics. https://iapp.org/media/pdf/resource_center/opice_blum_lgpd_infographics.pdf.

Pironti, R. (2021). O Controlador e o Operador de Dados na Adminis- tração Pública: um risco iminente. https://www.conjur.com.br/2021-fev-23/pironti-controlador-operador-dados-administracao.

Presidência da República (2018). Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LgPD). http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.

Ribeiro, M. (2021). MEI, EI, EIRELI e SLU: Quais são as diferenças? Se você deseja abrir uma empresa, fique informado, aprenda neste artigo quais são as diferenças entre MEI, EI, EIRELI e SLU. https://www.jornalcontabil.com.br/mei-ei-eireli-e-slu-quais-são-as-diferencas/#.Ynp6OhNBzAM.

Roza, T. (2021). Controlador e Operador: quem é quem na LgPD? https://www.nextlawacademy.com.br/blog/encarregado-controlador-e-opera-dor-quem-e-quem-na-lgpd.

Ruggiero, E. (2021). Publicada a primeira orientação da ANPD sobre agentes de tratamento e DPO. https://www.conjur.com.br/2021-jun-01/fuc-ci-publicada-orientacao-anpd-agentes-tratamento-dados.

Sampaio, J. (2013). Comentários ao art. 5º, X. In J. J. Canotilho, G. F. Mendes, I. W. Sarlet & L. L. Streck, Comentários à Constituição do Brasil (pags. 276-285). São Paulo: Saraiva/Almedina.

Tribunal de Justiça do Distrito Federal e Territórios (TJDFT). (2020). Resolução 9 de 02 de setembro de 2020. https://www.tjdft.jus.br/publicacoes/publicacoes-oficiais/resolucoes-do-pleno/2020/resolucao-9-de-02-09-2020.

Tribunal de Justiça de Santa Catarina (2022). O papel da ANPD na im- plementação da LgPD nos órgãos públicos [video YouTube]. https://www.youtube.com/watch?v=e_0_JX0IMvs.

Ustaran, E. (2019). European Data Protection: Law and Practice. International Association of Privacy Professionals.

Vainzof, R. (2020) Comentários ao art. 5º, VI e VII. In R. Blum & V. N. Maldonado (Coords.). LgPD: Lei Geral de Proteção de Dados comentada (pp. 96-103). Thomson Reuters Brasil.

2020 tem recorde de abertura de empresas; MEIs crescem em 2,6 mil- hões (2021). https://economia.uol.com.br/noticias/edação/2021/02/02/2020-tem-recorde-de-abertura-de-empresas-meis-crescem-em-26-milhoes.htm.