Controlador e operador na LGPD: quem é quem?

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece regras, no Brasil, sobre como pessoas físicas e jurídicas podem utilizar dados pessoais para realizar suas atividades.

De acordo com a LGPD, dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Assim, qualquer informação que esteja vinculada a uma pessoa física, direta ou indiretamente, é considerada dado pessoal.

Tais pessoas, chamadas "agentes de tratamento" podem ser classificadas em dois grandes grupos: controladores e operadores. Entender a qual grupo cada agente de tratamento pertence é essencial para a aplicação da LGPD, tendo em vista que as obrigações e responsabilidades de cada um são diferentes dentro da sistemática da lei. Assim, este guia pretende auxiliá-lo a entender estas figuras.

Pela LGPD, "tratamento de dados pessoais" é "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração". O conceito, como se vê, é bastante amplo, englobando praticamente qualquer atividade que se faça com um dado pessoal.

Antes de prosseguir, atenção! Este guia tem foco em empresas privadas. Assim, os exemplos e situações aqui tratados não foram pensados para o Poder Público, para empresas públicas ou para empresas que realizem atividade pública por determinação ou delegação do Poder Público.

Empresa ou entidade privada como agente de tratamento

A empresa (seja ela pessoa jurídica, MEI ou outro tipo de empresário individual) e as demais entidades privadas (ex.: associações e fundações) podem ser agentes de tratamento, seja na qualidade de controladoras ou de operadores.

Quando a empresa ou a entidade for pessoa jurídica, ela é quem será o agente de tratamento, ou seja, a controladora ou a operadora dos dados. Assim, em relação às atividades da entidade ou da empresa, os funcionários e os sócios não serão agentes de tratamento.

Dizer que que um determinado empregado ou sócio de uma pessoa jurídica é controlador é um erro bastante comum que pode ter repercussões regulatórias graves, já que a definição incorreta dos agentes de tratamento pode caracterizar descumprimento da LGPD. Segundo a lei, o titular tem o direito de saber quem são os agentes envolvidos no tratamento de seus dados pessoais.

Controlador

Pela lei, o controlador é a pessoa (física ou jurídica) a quem competem as decisões relativas ao tratamento de dados pessoais. Mas, na prática, o que isso quer dizer?

O controlador é a pessoa que efetivamente decide o que acontece com os dados pessoais. Identificá-lo, portanto, é tarefa que depende do que acontece na prática e pode não ser uma tarefa muito trivial. Para auxiliá-lo, elaboramos algumas perguntas que, se respondidas com "sim", darão pistas sobre se o agente de tratamento é controlador ou não:

• O agente define quais são os dados pessoais utilizados?
• O agente define as finalidades pelas quais os dados são tratados?
• Os dados pessoais pertencem ao agente?
• O agente define os prazos pelos quais os dados serão armazenados?
• Os fundamentos legais utilizados para embasar o tratamento são definidos pelo agente?
• O agente contrata terceiros para realizar o tratamento de acordo com as suas necessidades e de acordo com a sua conveniência?
• O agente de tratamento utiliza os dados pessoais para cumprir alguma obrigação legal ou regulatória que seja sua?

Perceba que a resposta "sim" a alguma ou a várias destas perguntas não necessariamente caracteriza a existência de um controlador, mas dá indícios fortes, na prática, de que o agente de tratamento atua efetivamente como controlador.

Assim, atuarão como controladoras:

• A empresa que coleta e utiliza os dados de seus funcionários para cumprir obrigações legais e regulatórias (por exemplo, envio de dados via eSocial, compartilhamento de informações sobre segurança do trabalho com os órgãos de controle, entre outros), fazer pagamentos, gerir atividades corporativas, realizar avaliações de desempenho, aplicar advertências, entre outros;
• A empresa que utiliza dados de clientes para registrar e enviar pedidos, para enviar e-mail marketing, para manter cadastros, para firmar contratos, entre outros;
• A empresa que mantém cadastros de fornecedores com dados de pessoas físicas, sejam sócias de pessoas jurídicas, sejam empresários individuais (ex.: MEI).

Controladores conjuntos

É possível, dentro da sistemática da LGPD, que mais de uma pessoa natural ou jurídica seja considerada controladora no âmbito de uma mesma atividade que envolva o tratamento de dados pessoais. Isso ocorrerá quando ambas tomarem decisões relativas ao tratamento de dados, assumindo papel de destaque na definição do que é feito com os dados.

Um exemplo de situação deste tipo é aquela na qual grupos em duas ou mais empresas utilizam uma mesma base de dados de clientes ou de funcionários, por exemplo.

Operador

O operador, de acordo com a LGPD, é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Dessa forma, o operador, assim como o controlador, realiza o tratamento de dados pessoais, mas dele se diferencia pelo fato de que o operador não possui o mesmo poder decisório, atuando em nome ou por determinação do controlador.

Alguns dos exemplos mais frequentes de operadores são os seguintes:

• Empresa de software contratada para o armazenamento e para a gestão de documentos de empregados (softwares de gestão de pessoal);
• Empresa que oferece serviços de armazenamento em nuvem;
• Empresa que oferece serviços de manutenção de infraestrutura de tecnologia da informação, realizando, por exemplo, instalação e manutenção de redes cabeadas e sem fio, backups de servidores, entre outras atividades possíveis;
• Escritório de contabilidade contratado para prestação de serviços que envolvam a utilização de dados pessoais, como o processamento e o pagamento de notas fiscais emitidas para pessoas físicas, de folha de pagamento, entre outras atividades.

Suboperador

O suboperador é a figura que atua como "operador do operador", ou seja, é a pessoa contratada pelo operador para auxiliá-lo no tratamento dos dados pessoais realizado em nome do controlador.

Assim como a figura do controlador conjunto, a do suboperador não é expressamente previsto na LGPD, mas a existência de ambas é admitida na literatura especializada.

Imagine um cenário no qual uma empresa provê para um controlador um software de gestão de pessoal, que permite a ele, controlador, a inserção e o armazenamento de documentos em formato eletrônico. Imagine agora que a empresa que desenvolveu e que disponibiliza o software mantém seu banco de dados em um servidor em nuvem, cuja estrutura física encontra-se localizada nos Estados Unidos da América. A empresa responsável pelo servidor (contratada pela empresa que oferece seu software ao controlador) atua, em relação ao controlador, como suboperadora.

Responsabilidades

A lei define obrigações e responsabilidades distintas para os diferentes agentes de tratamento, recaindo sobre o controlador uma carga maior de deveres e, também, uma maior severidade no que diz respeito ao tratamento realizado de forma irregular.

Via de regra, a responsabilidade por eventuais violações à LGPD (incluindo, por exemplo, o tratamento de dados excessivos e os casos envolvendo incidentes de segurança da informação, como vazamento de dados ou interrupção de sistemas e serviços em virtude de ataques hackers) cabe ao controlador, já que ele é a figura com efetivo poder decisório em relação ao tratamento de dados pessoais.

Apesar disso, o operador pode ser responsabilizado juntamente com o controlador se deixar de seguir suas instruções ou se descumprir, ele mesmo, a LGPD e demais normas aplicáveis à proteção de dados pessoais.

Aqui, é importante frisar que, como o controlador possui uma maior carga de responsabilidades, o ideal é que ele seja chamado a concordar ou não com a contratação, pelo operador, de suboperadores. Isso porque a relação controlador-operador pressupõe a confiança entre os envolvidos, sendo o controlador talvez a parte mais interessada em garantir que o suboperador observará a LGPD.

Por fim, diz a lei, os agentes de tratamento só não serão responsabilizados quando comprovarem:

• que não realizaram o tratamento de dados pessoais que lhes é atribuído;
• que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
• que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Modelos e exemplos para download nos formatos Word e PDF

• Política de privacidade
• Termo de consentimento para o tratamento de dados pessoais
• Termo aditivo ao contrato de trabalho sobre proteção de dados pessoais
• Inventário de dados pessoais
• Termo de consentimento para o tratamento de dados pessoais de criança