Ainda que não exista o conceito de Suboperador na LGPD, eles estão presentes em cadeias mais complexas de tratamento de dados e precisam ser observados no processo de adequação da LGPD.
O Suboperador é aquele contratado pelo Operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do Controlador.
A relação direta do Suboperador é com o Operador e não com o Controlador. E para efeitos da LGPD, ambos podem desempenhar, a depender do caso concreto, a função de operador e responder perante a ANPD.
Nesse sentido, é recomendável que o Operador, ao contratar o Suboperador, obtenha autorização formal (genérica ou específica) do Controlador.
A ANPD orienta, no seu guia sobre o tema, que no contrato com o Controlador, o Operador liste seus Suboperadores. Isso busca evitar que, ao contratar o Suboperador, o entendimento seja que o Operador tenha executado o tratamento de dados descumprindo orientações do Controlador.
Tal situação poderia atrair para o Operador responsabilidades que normalmente são exclusivas do Controlador.
Esse entendimento desdobra ainda mais os cuidados do Controlador com sua rede de Operadores. Imagine ser surpreendido com um incidente no Suboperador, que está armazenando seus dados e que sua Empresa nem tinha conhecimento, pois julgava que quando contratou o Operador toda a operação de tratamento estava só com ele.
Lembrando que, a partir da entrada em vigor, todos devem comprovar a adequação e, se o Controlador não observou a adequação de seus Operadores e por extensão, dos Suboperadores quando os contratou, danos já podem ter ocorrido, considerando que a ANPD pode sancionar infrações retroativamente. Em breve a dosimetria das penas estará regulada pela ANPD e as sanções irão ocorrer.
Uma boa estratégia é a criação de uma lista de Operadores, com Suboperadores listados e ambos “Compliance”. Desta forma, a Empresa só trabalhará com esses aprovados e o máximo de trabalho posterior é reavaliar de tempos em tempos a adequação.
E já adianto: é um longo trabalho para fazer essa lista de forma consistente e na minha opinião, não é razoável, no caso de alguns Operadores, um simples contrato com “cláusulas LGPD”, que com certeza será assinado pela maioria para não perder a venda.
Até a próxima #dosedelgpd
Advogada, DPO por assinatura, Membro da Comissão Especial de Privacidade e Proteção de Dados – OAB/SP, contratos e negociações de TI, Diretora na W&S Central IT – Joinville e São Paulo