LGPD na prática: afinal de contas, servidor/empregado é operador de dados?

Para a Lei Geral de Proteção de Dados (LGPD), operador é "toda pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador" (artigo 5º, inciso VII).

Desde a efetiva entrada em vigor da norma, observou-se que tanto empresas privadas quanto órgãos públicos passaram a adotar diferentes interpretações quanto à extensão e aos desdobramentos do conceito.

O Ministério Público do Estado do Rio Grande do Sul, por meio do Provimento nº 68/2020, definiu que seriam considerados operadores todos os seus membros, servidores e estagiários.

O Tribunal de Justiça do Distrito Federal e dos Territórios foi além e, mediante a publicação da Resolução nº 09, de 2 de setembro, apontou o próprio presidente do tribunal como controlador, os vice-presidentes e o corregedor da Justiça como controladores-adjuntos e, por fim, os servidores, demais colaboradores e terceiros contratados como operadores.

De outro lado, o Tribunal de Justiça de São Paulo, por meio da Resolução nº 9.918/2020, considerou que apenas são operadores os prestadores de serviços de tecnologia da informação e comunicação.

Aos que julgam o debate como mera divergência doutrinária sem efeitos práticos, cabe um alerta: a opção por um sentido ou outro provoca uma série de consequências na própria implementação da LGPD e, principalmente, na responsabilização pelos danos.

Vale lembrar que o artigo 42 da LGPD prevê que tanto o controlador quanto o operador serão obrigados a reparar os danos decorrentes da violação à legislação de proteção de dados. E mais, o parágrafo único do mesmo artigo, define que o operador será responsável solidariamente quando não observar as obrigações impostas pela norma ou as instruções lícitas do controlador.

Sendo assim, ao enquadrar os servidores ou os empregados como operadores de dados, ambos seriam igualmente responsáveis pelos danos sofridos pelo titular dos dados pessoais tratados, respectivamente, pelo órgão público ou pela empresa.

A controvérsia é tão relevante que o Instituto de Tecnologia e Impacto do Rio (ITS) promoveu um evento online para discutir especificamente o tema.

Nessa oportunidade, Marcos Lindemeyer, da Controladoria-Geral da União (CGU), lembrou que o anteprojeto de 2011 apresentava o conceito de subcontratado [1], e não de operador de dados, sendo que o segundo termo, conforme Danilo Doneda, membro do Conselho Nacional de Proteção de Dados Pessoais e Privacidade (da ANDP), foi inserido com o intuito de abarcar maiores nuances de estrutura organizacional, fato que pode ter fomentado as múltiplas interpretações.

Para além disso, Marcos Lindemeyer ressaltou outro ponto muito importante: a teoria do órgão segundo a qual "toda atuação do agente público deve ser imputada ao órgão que ele representa, ou seja, à pessoa jurídica para a qual trabalha, e não a sua pessoa".

À propósito, a referida teoria já foi abordada por outros especialistas, como pelo estudioso Rodrigo Pironti no debate promovido pela Escola Judicial Desembargador Edésio Fernandes (EJEF) e pelo Tribunal de Justiça de Minas Gerais (TJ-MG), webinário que contou também com a presença da desembargadora Denise de Souza Luiz Francoski, encarregada de dados do Tribunal de Justiça de Santa Catarina.

Recentemente, o Supremo Tribunal Federal também se manifestou sobre a teoria ao analisar o Tema 940 e definir a seguinte tese: "A teor do disposto no art. 37, § 6º, da Constituição Federal, a ação por danos causados por agente público deve ser ajuizada contra o Estado ou a pessoa jurídica de direito privado prestadora de serviço público, sendo parte ilegítima para a ação o autor do ato, assegurado o direito de regresso contra o responsável nos casos de dolo ou culpa".

Do mesmo modo, tratando-se do empregado, há previsão semelhante nos artigos 932, inciso III, e 933 do Código Civil, sendo o empregador responsável pela reparação civil, independentemente da prova de sua culpa, por seus empregados e prepostos em virtude de danos decorrentes do exercício do trabalho ou em razão dele.

A despeito dos fundamentos elencados, é fato que ainda não existe um consenso sobre o tema, o que gera insegurança jurídica e um ambiente perigoso, sobretudo, em tempos de corrida à implementação da LGPD e diante dos frequentes ataques hackers aos órgãos públicos.

Por ora, considerando o artigo 55-J, inciso XX, da LGPD, entende-se que cabe à Autoridade Nacional de Proteção de Dados (ANPD) resolver a controvérsia mediante a fixação de uma interpretação uniforme.

Contudo, é preciso ter consciência de que a alternativa pode não ser a mais célere diante do descompasso entre o tamanho da estrutura e da imensa quantidade de competências da ANPD, como bem destacou Danilo Doneda.

Diante disso, você pode estar refletindo: o que fazer enquanto a ANPD não se manifesta?

A temática suscita dúvidas e, como a lei não trata o ponto de forma expressa — assim como tantos outros conceitos, por ora, indeterminados —, cabe aos operadores da lei firmarem posicionamentos compatíveis com o contexto posto, sopesando a maior proteção aos direitos dos titulares de dados pessoais.

Referências bibliográficas
— BRASIL. Câmara dos Deputados. Primeiro Projeto de Lei de Proteção aos Dados Pessoais. Disponível em: <https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=DA25E0C90E23DF9CB96652EC90C0CC42.proposicoesWebExterno1?codteor=1001750&filename=Tramitacao-PL+4060/2012>.

— ______. Lei Federal n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.

— ESCOLA JUDICIAL DESEMBARGADOR EDÉSIO FERNANDES; TRIBUNAL DE JUSTIÇA DE MINAS GERAIS. Webinar: Principais Aspectos da Lei Geral de Proteção de Dados Pessoais – LGPD no Poder Judiciário Disponível em: <https://www.youtube.com/watch?v=q72_x2qkidk&feature=youtu.be>.

— INSTITUTO DE TECNOLOGIA E IMPACTO DO RIO. LGPD no setor público: a controvérsia de servidores-operadores. Disponível em: <https://itsrio.org/pt/varandas/lgpd-no-setor-publico-a-controversia-de-servidores-operadores/>.

— MINISTÉRIO PÚBLICO DO ESTADO DO RIO GRANDE DO SUL. Provimento n. 68/2020 – PGJ. Disponível em: <https://www.mprs.mp.br/legislacao/provimentos/14204/>.

— SUPREMO TRIBUNAL FEDERAL. Vocábulo Jurídico: Teoria do órgão. Disponível em: <http://www.stf.jus.br/portal/jurisprudencia/listarTesauro.asp?txtPesquisaLivre=TEORIA%20DO%20%C3%93RG%C3%83O#:~:text=Teoria%20segundo%20a%20qual%20toda,e%20n%C3%A3o%20%C3%A0%20sua%20pessoa>.

— SUPREMO TRIBUNAL FEDERAL. RE 1027633/SP. Tribunal Pleno. Relator Min Marco Aurélio. J. 14/08/2019. Publicado 06/12/2019. Disponível em: <https://jurisprudencia.stf.jus.br/pages/search/sjur416502/false>.

— TRIBUNAL DE JUSTIÇA DO DISTRITO FEDERAL E DOS TERRITÓRIOS. Resolução n. 9 de 02/09/2020. Disponível em: <https://www.tjdft.jus.br/publicacoes/publicacoes-oficiais/resolucoes-do-pleno/2020/resolucao-9-de-02-09-2020>.

— TRIBUNAL DE JUSTIÇA DE SÃO PAULO. Portaria n. 9.918/2020. Disponível em: <https://www.tjsp.jus.br/Download/Portal/LGPD/PoliticaPrivacidade.pdf?637426210593081496>.