Controlador x Operador: entenda o seu papel no contexto da Lei Geral de Proteção de Dados (LGPD)

Rodrigo Russo / Direito Digital, LGPD
23 fevereiro, 2021

Direito digital e proteção de dados pessoais não são exatamente novidades no Brasil, seja na ótica comercial e empresarial ou sob o prisma jurídico. De fato, mesmo antes da Lei Geral de Proteção de Dados (LGPD), as matérias já eram tratadas por legislações como o Marco Civil da Internet, enquanto os dados pessoais já eram considerados até mesmo como valiosos ativos, decisivos em relações comerciais entre grandes empresas.

Contudo, é inegável que, nos últimos anos, o tema se tornou cada vez mais relevante. Assim, a LGPD assumiu a árdua responsabilidade de apresentar e unificar as definições, princípios, disposições e determinações relacionadas aos dados pessoais, sua proteção e formas de tratamento, bem como os direitos, deveres e responsabilidades relativas a eles.

Nesse sentido, com a proteção de dados no “centro dos holofotes”, as dúvidas e debates referentes ao tema também ganham novo fôlego, acompanhados do caráter de urgência que a necessidade de conformação às novas disposições legais traz consigo. Dentre elas, uma das primeiras questões que surgem ao se estudar o tema diz respeito justamente a conceitos absolutamente basilares para a compreensão da legislação: afinal, quem são os Controladores e Operadores de dados e como saber o papel da minha empresa no contexto da LGPD?

Distinguir ambas as figuras e quais os seus respectivos papéis, conforme atribuídos pela LGPD, é fundamental para compreender, também, as obrigações e responsabilidades atribuídas a cada um, e, assim, saber como preparar seu próprio negócio para o processo de adequação e conformidade, na execução do papel apropriado nas relações de tratamento de dados empreendidas.

Entendendo as principais diferenças entre os dois agentes

A LGPD traz, em seu art. 5º, incisos VI e VII, as seguintes definições:

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Vê-se, pelo texto da lei, que a diferença principal dos dois agentes diz respeito ao poder decisório quanto ao tratamento dos dados.

Ao Controlador, competem as decisões essenciais a respeito dos procedimentos de tratamento de dados. Em outras palavras, o Controlador é o agente responsável por determinar o propósito e o meio pelo qual se ocorrerá o tratamento dos dados.

Assim, o Controlador é o responsável por definir que uma determinada atividade de tratamento de dados será realizada, bem como tomar as decisões sobre seus aspectos essenciais, como: quais dados serão coletados, qual a finalidade da atividade, qual será o tempo de armazenamento dos dados, quem terá acesso aos dados e qual será o público ou quem serão os indivíduos impactados pela atividade.

Embora o Controlador seja o responsável pela definição do propósito e do meio de realização do tratamento de dados, ele não necessariamente precisa executar o meio de tratamento, podendo delegar esta tarefa – hipótese da qual desponta a figura do Operador.

@moreirasuzuki

O Operador é, então, o agente que recebe as delegações do Controlador acerca do meio de tratamento dos dados. Assim, é um agente que pode executar o tratamento de dados em nome do Controlador, seguindo instruções emanadas por ele e vinculando-se a estas instruções, não possuindo autonomia ou ingerência sobre decisões essenciais relacionadas ao propósito da atividade de tratamento.

Faz-se a ressalva de que isso não significa que o Operador não possui qualquer autonomia na realização de suas funções. Pelo contrário, o Operador pode possuir certa discricionariedade para a tomada de decisões, desde que essas decisões se restrinjam ao aspecto operacional da atividade, jamais podendo tomar decisões de caráter essencial ou que impactem no propósito da atividade de tratamento de dados.

Assim, enquanto os aspectos mais relevantes da realização da atividade cabem ao Controlador, ao Operador caberiam decisões relacionadas ao meio e à forma de execução das atividades delegadas pelo Controlador, como a escolha de um software mais seguro ou adequado para a realização do tratamento, um provedor de armazenamento em nuvem, qual plataforma de assinatura digital utilizar.

Note-se que as decisões dos exemplos mencionados não interferem significativamente na finalidade da atividade, mas apenas na forma de operacionalizar a ordem e as instruções dadas pelo Controlador ao Operador. Em resumo, os agentes se diferenciam, também, pela essencialidade das decisões que podem tomar, de modo que o Controlador possui grande liberalidade para a tomada de decisões, enquanto as decisões do Operador devem estar vinculadas ao propósito pré-definido pelo Controlador e se limitar ao âmbito de operacionalização da atividade.

Caso o segundo agente:

(i) possua autonomia para decidir sobre pontos essenciais da atividade;

(ii) possua interesse direto na realização do tratamento;

(iii) possa decidir sobre aspectos relacionados aos propósitos do tratamento; ou

(iv) detenha capacidade de criação, alteração e desenvolvimento de atividades de tratamento, não se fala mais na relação entre Controlador e Operador, mas sim na multiplicidade de Controladores, respondendo solidariamente perante os titulares nos casos de incidentes danosos.

Ademais, faz-se pertinente esclarecer que, consoante se interpreta do texto legal, ambos os papéis podem ser exercidos tanto por pessoas físicas quanto pessoas jurídicas. Assim, o fato de as decisões serem tomadas ou operacionalizadas por pessoa física em nada interfere na sua caracterização como Controlador ou Operador.

Nesse sentido, nada impede que profissionais que eventualmente atuem como pessoa física, como, por exemplo, advogados, médicos, representantes comerciais ou pesquisadores, sejam Controladores ou Operadores, se desempenharem atividades que se enquadrem nestes papéis.

Vale destacar, por fim, que o Operador é um agente separado do Controlador. É dizer que o fato da empresa estar segmentada em setores ou contar com funcionários autônomos/terceirizados não os torna automaticamente “operadores” dos sócios ou gerentes da própria empresa. Os diversos setores e colaboradores da empresa exercem o mesmo papel, atuando como um todo no papel de Controlador ou Operador, jamais segmentando-se o papel entre os setores, mas sim entre atividades.

Definindo a atuação do seu negócio como Controlador ou Operador na LGPD

Feitos os esclarecimentos expostos acima, é possível compreender, na teoria, quem são os Controladores e Operadores no âmbito da LGPD. Surge, contudo, uma dúvida de viés prático: mas afinal, minha empresa atua como Controladora ou Operadora em suas atividades? Só é possível assumir um desses papéis, que se aplicará para todas as atividades realizadas?

A resposta para a segunda pergunta é negativa. De fato, compreender o papel de uma empresa exige a análise de cada uma das atividades, verificando-se quais as funções desempenhadas em cada uma delas a fim de constatar o papel exercido. É certo, pois, que uma empresa pode ser simultaneamente, Controladora e Operadora, nas diferentes atividades que desempenha rotineiramente.

Tome-se por exemplo uma empresa de marketing e publicidade “ABC”. No desempenho de seus serviços, ela recebe orientações das empresas contratantes acerca de como as campanhas publicitárias devem ser realizadas, qual será o público alvo, quais os indicadores a serem medidos e futuramente repassados e qual o produto ou serviço a ser divulgado. Neste caso, a empresa de marketing é apenas operadora das contratantes, que seriam controladoras dos dados.

@moreirasuzuki

Note-se que, ainda que a empresa “ABC” possa decidir sobre a melhor estratégia para se operacionalizar o serviço contratado – como os meios de divulgação mais adequados ao público alvo, formas de comunicação mais efetivas, meios de armazenamento dos dados durante o período em que se encontrarem em seu poder e as formas de medição dos indicadores requeridos pelas contratantes – suas decisões estão subordinadas às orientações das contratantes, restringindo-se, nestes casos, ao meio de realização da atividade contratada sem impactar em sua finalidade ou propósito principal. Assim, perante suas contratantes, a “ABC” atua apenas como operadora dos dados.

Entretanto, diga-se que a empresa “ABC” conta com uma série de funcionários, divididos em departamentos de Recursos Humanos, Financeiro, Jurídico, Artes Visuais, Redação e Relacionamentos com os Clientes. Quanto aos dados de seus colaboradores, a empresa possui absoluta autonomia, podendo decidir livremente quais os dados tratados, com quais finalidades, de qual forma e por quanto tempo serão armazenados, quais os regimes trabalhistas adotados, quando ocorrerá a eliminação desses dados e de que modo. Sob este prisma, enquanto os colaboradores são titulares de dados, a “ABC” é Controladora dos dados perante seus funcionários, sem que isso prejudique sua posição de Operadora perante as demais empresas contratantes.

Tal exemplo, embora simplista, demonstra que uma empresa pode ser, simultaneamente, Controladora e Operadora de dados, a depender da atividade realizada e do contexto de análise. Caso haja um incidente de vazamento dos dados de seus próprios colaboradores, ela responderá como Controladora e deve observar as atribuições desse papel. Em havendo, por outro lado, incidente danoso relacionado aos serviços prestados para empresas contratantes, ela responderá como Operadora.

Conclui-se, assim, que compreender o papel exercido por uma empresa, como Controladora ou Operadora, requer uma análise atenta da realidade própria da empresa, suas relações com terceiros e todas as atividades empreendidas, o que exige um mapeamento preciso dos dados e atividades de tratamento – etapas que devem integrar um projeto de conformidade à LGPD.

Embora não seja uma tarefa simples, trata-se de uma definição fundamental, que impactará no âmbito de responsabilidade da empresa, na estratégia a ser utilizada nos contratos firmados, na forma de comunicação com os titulares e na observância das respectivas atribuições, estabelecidas pela LGPD, relacionadas a cada um desses papéis.

COMPARTILHAR

Quer receber conteúdos exclusivos da Moreira Suzuki Advogados por e-mail? Cadastre-se!