O controlador e o operador de dados na Administração Pública: um risco iminente

Recentemente muito se discute sobre alguns conceitos básicos derivados da Lei Geral de Proteção de Dados, não apenas no âmbito privado, mas principalmente em razão de algumas normas editadas por órgãos da Administração Pública.

A Lei Geral de Proteção de Dados, no seu artigo 5º, incisos VI e VII, considera controlador a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais" e operador a "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador". Ora, de uma leitura menos atenta, não resta dúvida de que o enquadramento destas duas figuras é simples, ou seja, a literalidade do artigo manifesta que serão ambos ou pessoas físicas ou jurídicas, eleitas dentro do cenário de governança da instituição.

Parece simples, porém, alguns órgãos da Administração Pública, recentemente, designaram em seus atos normativos os controladores de dados como pessoas físicas vinculadas à sua alta administração (presidentes, vice-presidentes, entre outros) e como operadores servidores e/ou funcionários vinculados à sua estrutura administrativa.

A consequência desse enquadramento não é meramente conceitual, mas possui reflexos diretos na responsabilidade patrimonial desses agentes. É que o artigo 42 da Lei 13.709/18 foi claro ao prever que o "controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo". Isso quer dizer que, em sendo o controlador ou o operador a pessoa natural do agente, é esta que, por determinação legal e pelo exercício dos direitos dos titulares ficará obrigada a reparar o dano. É dizer, o enquadramento da pessoa natural como controladora ou operadora de dados sem a devida cautela, pode causar grave prejuízo ao agente público, que poderá se ver demandado diretamente em juízo pelo titular de dados, por decorrência lógica da própria responsabilização civil que titulariza.

O Regulamento Geral de Proteção de Dados da União Europeia (RGPD), por meio do Comitê Europeu para a Proteção de Dados (CEPD), já divulgou orientações exatamente sobre esse tema e foi enfático ao esclarecer que geralmente é a organização que é classificada como controladora e não um indivíduo dentro da mesma organização, justamente porque quem decide sobre as finalidades e os meios utilizados nos tratamentos de dados é a organização e consequentemente, quem pode ser responsabilizado pelos prejuízos decorrentes dessas decisões é ela, e não seu agente.

Mas qual seria, então, o fundamento para a LGPD prever a figura do controlador/operador como sendo uma pessoa natural, se a pessoa jurídica não puder assim nomeá-lo? Simples; quando esse controlador/operador, em sendo pessoa física e pelas características do negócio ou pela natureza da atividade exercer o seu papel com controle das decisões sobre os dados pessoais ou sobre sua operação. Isso é muito comum em ações de marketing digital e vendas praticadas por pessoas naturais com fins comprovadamente comerciais e econômicos. Está aí o real sentido da previsão legal, não permitir que pessoas físicas que exerçam atividades com controle sobre as decisões e operações de dados diretamente e em seu interesse fiquem alijadas do processo de responsabilização da lei.

Nesse sentido, com a devida vênia, é equivocada a interpretação de que, em órgãos da Administração Pública, seus agentes deveriam ser os respectivos controladores e operadores, pois, para além dos fundamentos já mencionados, tal interpretação também sepultaria a conhecida e tradicional teoria do órgão, pela qual a atuação da Administração não se confunde com seu agente, mas apenas é por ele externada. As pessoas físicas que atuam nestas posições seriam apenas veículos de manifestação do Estado. A vontade/decisão, portanto, é do Estado, e não de seu agente. Daí derivam princípios comezinhos como o da impessoalidade, por exemplo.

Em conclusão, a compreensão dos conceitos de "controlador" e "operador" é fundamental para um adequado processo de proteção de dados, contudo, enquanto não houver uma definição concreta pela Autoridade Nacional (ANPD), devem as instituições públicas agir com muita responsabilidade e cautela para que o açodamento normativo em nome de um suposto vanguardismo institucional não coloque em risco os seus próprios agentes.