Afinal, quem é considerado operador de dados na LGPD

Um dos temas que mais preocupam a adequação das empresas e do poder público à LGPD, pela grande confusão interpretativa causada, é a definição de quem são os denominados controladores e operadores de dados, notadamente quando se está diante da figura do operador, pois há uma tendência quase que natural e, absolutamente equivocada, de se entender como operadores, os agentes, servidores, funcionários e até mesmo estagiários e trainees destas empresas e órgãos públicos. Dito isto, tentarei demostrar nestas breves linhas, de forma bastante objetiva e didática, o equívoco desta avaliação e a necessidade urgente de uma correta classificação.

Contudo, em razão da interpretação literal, vemos algumas empresas e órgãos da administração pública, designando em suas políticas e atos normativos os operadores de dados como pessoas físicas vinculadas à sua estrutura funcional interna (funcionários, servidores e/ou até mesmo estagiários vinculados à sua estrutura administrativa). Isso é um verdadeiro equívoco, não apenas sob o prisma interpretativo e finalístico da Lei Geral de Proteção de Dados, mas, principalmente, em razão de teorias já consolidadas.

A consequência desse equívoco não é meramente conceitual, mas possui reflexos graves e diretos na responsabilidade patrimonial dos funcionários da empresas e agentes públicos. Explico: é que o artigo 42 da Lei 13.709/18 foi claro ao prever que o "controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo". Isso quer dizer que, em sendo o controlador ou o operador a pessoa natural do agente, é esta que, por determinação legal e pelo exercício dos direitos dos titulares, ficará obrigada a reparar o dano.

É dizer, o enquadramento da pessoa natural (física) como controladora ou operadora de dados sem a devida cautela pode causar grave prejuízo à esfera individual e patrimonial do agente público, que poderá se ver demandado diretamente em juízo pelo titular de dados, por decorrência lógica da própria responsabilização civil que titulariza. Não se trata portanto de mera falha interpretativa, mas de imputação de responsabilidade para atuar como parte em demandas administrativas e judiciais e grave risco ao patrimônio particular dos funcionários e agentes que tem sobre si a equivocada classificação.

O Regulamento Geral de Proteção de Dados da União Europeia (RGPD), por meio do Comitê Europeu para a Proteção de Dados (CEPD), já divulgou orientações sobre esse tema e foi enfático ao esclarecer que geralmente é a organização que é classificada como controladora, e não um indivíduo dentro da mesma organização, justamente porque quem decide sobre as finalidades e os meios utilizados nos tratamentos de dados é a organização e, consequentemente, quem pode ser responsabilizado pelos prejuízos decorrentes dessas decisões é ela, e não seu agente. A mesma lógica se aplica ao operador, quando no exercício das atividades que lhe são delegadas.

O entendimento da Autoridade Nacional de Proteção de Dados também é enfático neste ponto e, de forma absolutamente coerente, pauta em seu guia orientativo, as seguintes diretrizes:

"Por outro lado, os funcionários atuarão em subordinação às decisões do controlador, não se confundindo, portanto, com os operadores de dados pessoais" [1].
[…]
"Embora a delegação de decisão quanto aos meios para a DGP possa sugerir que essa diretoria atue como operadora de dados, esta não é a análise correta: como a DGP é uma unidade administrativa da autarquia, a delegação interna não altera o papel do agente de tratamento., uma vez que, como exposto, o operador será sempre pessoa distinta do controlador. O mesmo raciocínio se aplica para a DTI. Desse modo, a autarquia será a controladora de dados e a empresa Sierra será a operadora de dados. A Secretaria e as Diretorias, assim como os seus respectivos servidores, são apenas unidades organizacionais do ente controlador de dados, razão pela qual não se caracterizam como agentes de tratamento" [2].

Nesse sentido, com o devido respeito, é equivocada a interpretação de que, em empresas privadas e órgãos da Administração Pública, seus funcionários e agentes deveriam ser os respectivos controladores e operadores, pois, para além dos fundamentos já mencionados, tal interpretação também sepultaria a conhecida e tradicional teoria da empresa e teoria do órgão, pela qual a atuação da pessoa jurídica não se confunde com a de seus funcionários ou agentes, mas são por eles externadas. As pessoas físicas que atuam nessas posições seriam apenas veículos de manifestação da empresa ou do órgão. A vontade/decisão, portanto, é da pessoa jurídica de direito privado ou público, e não de seu funcionário ou agente. Daí deriva o comezinho princípio da impessoalidade, por exemplo.

E que não se diga, por exemplo, que as áreas administrativas das empresas e entes públicos poderiam figurar como operadores, como é o caso de diretorias, secretarias, gerências, departamentos, dentre outros, pois consoante os critérios de governança e organização administrativa nas empresas e no poder público, a pessoa jurídica repassa competências internamente por meio da denominada desconcentração de atividades aos vários setores e/ou órgãos que dão execução ao feixe de atribuições que lhes foi repassado pelo controlador (pessoa jurídica de direito público ou privado), por determinação legal ou normativa. É dizer, não se pode confundir o exercício interno deste feixe de atribuições com as atribuições de operador de dados, pois em essência, essas áreas e pessoas nada mais são do que a expressão fiel das atividades do controlador, agindo em nome deste, dentro de seu estrito exercício funcional e não se caracterizando como agentes de tratamento, pois, efetivamente, não o são.

Em conclusão, as instituições públicas e privadas devem agir com muita responsabilidade e cautela na classificação dos seus operadores, pois estes serão sempre pessoas distintas do controlador, para que o equívoco interpretativo ou eventual açodamento normativo sobre a definição dessas figuras, não coloque em risco os seus próprio funcionários ou agentes.