A aplicação da Lei Geral de Proteção de Dados (LGPD) no Brasil, assim como a prática europeia, evidenciou que a adoção binária de agentes de tratamento de dados pessoais como apenas controlador ou operador não era suficiente para lidar com as diversas situações envolvendo a proteção de dados.
Em resposta a essa necessidade, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Este guia introduziu, além das figuras do controlador e do operador, os conceitos de controladoria conjunta (co-controlador), controladoria singular e suboperador, visando uma melhor definição das responsabilidades no tratamento de dados.
Esses novos conceitos são fundamentais, pois influenciam diretamente na atribuição de responsabilidades relacionadas ao tratamento de dados pessoais. A adoção desses novos tipos de agentes impacta diversos prestadores de serviços, incluindo escritórios de contabilidade e contadores. Para ser considerado controlador dos dados, um agente deve manter sob sua influência e controle as principais decisões sobre a finalidade do tratamento dos dados. No entanto, em algumas situações, essas decisões podem ser tomadas de forma convergente por mais de uma entidade, caracterizando uma controladoria conjunta.
O operador, por sua vez, é responsável por realizar o tratamento de dados pessoais em nome do controlador, seguindo a finalidade determinada por este. A principal diferença entre controlador e operador reside no poder de decisão sobre as finalidades do tratamento. Assim, enquanto o operador pode tomar determinadas decisões, estas sempre devem estar alinhadas com as diretrizes estabelecidas pelo controlador.
Surge então a questão: um escritório de contabilidade contratado por uma empresa seria considerado um co-controlador ou um operador no tratamento dos dados pessoais dos funcionários da empresa?
Essa questão é complexa e suscita várias discussões. Na Europa, o tema já é abordado por órgãos como o European Data Protection Board (EDPB), o Information Commissioner’s Office (ICO) e o Article 29 Working Party.
Esses órgãos apresentam exemplos que demonstram que, dependendo do serviço contábil contratado, o escritório de contabilidade pode ser considerado como co-controlador ou operador.
Portanto, é crucial discutir este tema, dadas as implicações significativas nas atribuições de responsabilidades que ele pode gerar.