Opinião

Dos agentes de tratamento: o controlador e o operador na LGPD

Autor

  • Paula Ferraz

    é advogada na área de privacidade e proteção de dados pessoais pós-graduada em Direito dos Contratos (PUC-Rio) e em Direito Público e Privado (EMERJ) e possui certificação DPO-Exin.

3 de maio de 2022, 13h13

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18, LGPD), que teve forte influência do direito comunitário europeu, apesar de ter sido promulgada em agosto de 2018, ou seja, após três meses da eficácia plena do Regulamento Geral sobre Proteção de Dados da União Europeia 2016/679 (General Data Protection Regulation  GDPR 25.5.2018), entrou em vigência no dia 18.9.2020 – com exceção das sanções administrativas [1] , após diversos desdobramentos legislativos ocorridos no primeiro semestre de 2020 (durante a Covid-19).

Em decorrência da relevância do tema, o direito à proteção dos dados pessoais encontra-se inserido no inciso LXXIX do artigo 5 da Constituição Federal de 1988 (EC 115/2022), motivo pelo qual todos que tratam dados pessoais  agentes de tratamento , precisam observar a LGPD, cuja razão da sua existência é, tão somente, a proteção dos dados pessoais dos titulares.

O conceito dos agentes de tratamento (controlador e operador) consta no artigo 5, respectivamente, nos incisos VI e VII, da LGPD (artigos 24 e 28 e Considerandos 74 e 79, todos do GDPR [2]). Conforme consta no Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado da ANPD, "o controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade de tratamento" [3] e que, em regra, os direitos dos titulares são exercidos em face do controlador [4]. Já o operador, "é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por este delimitada" [5].

Ressalte-se que o controlador não necessariamente terá acesso aos dados pessoais, pois o que lhe compete ser um controlador é, tão somente, o poder de decisão com relação ao tratamento dos dados pessoais [6]. E os funcionários e colaboradores que atuam sob o poder diretivo do agente de tratamento não são considerados os seus operadores, uma vez que "atuarão em subordinação às decisões do controlador" [7].

São consideradas algumas funções do controlador, por exemplo, 1) definir a correta base legal para o tratamento dos dados pessoais; 2) determinar o descarte dos dados pessoais após o término da atividade de tratamento, se porventura não tiver legislação em que disponha sobre determinado prazo de armazenamento; 3) comprovar o consentimento do titular de dados pessoais; 4) decidir acerca da gestão dos direitos dos titulares; 5) comprovar a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados (artigo 46, da LGPD); 6) decidir o conteúdo do aviso de privacidade; 7) decidir se há necessidade na elaboração do relatório de impacto à proteção de dados, se porventura o nível de risco da atividade de tratamento for elevado; 8) comunicar incidentes de segurança à ANPD; dentre outras.

Já o operador, terá as seguintes funções: 1) também deverá comprovar a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados (art. 46, da LGPD); 2) deverá seguir todas as instruções do controlador quanto ao tratamento de dados pessoais conforme previsão estipulada na cláusula contratual; 3) descartará os dados pessoais mediante a instrução prévia do controlador, devendo, posteriormente, comprovar ao controlador tal descarte; 4) só poderá contratar um suboperador se porventura constar expressamente no contrato firmado perante o controlador, caso contrário, o operador se sub-roga na figura do controlador perante este suboperador, etc.

Saliente-se que, os agentes de tratamento deverão adotar boas práticas e o privacy by design desde a concepção, para que haja a proteção aos dados pessoais dos titulares. Um dos princípios fundamentais do privacy by design (Ann Cavoukian — artigo 46, §2º, LGPD) [8] [9] é o respeito pela privacidade do titular de dados pessoais, ou seja, a organização tem que se preocupar, em primeiro lugar, com os interesses dos titulares, mediante a implementação de medidas de segurança da informação. Dessa forma, além dos agentes de tratamento aumentarem os seus lucros  pois estar compliance com a LGPD confere vantagem competitiva em relação aos seus concorrentes , os seus clientes (titulares de dados) ficarão satisfeitos quanto à proteção de seus dados pessoais.

Por fim, vale salientar que os conceitos de controlador e operador são conceitos funcionais, cujas responsabilidades serão em decorrência das suas funções desempenhadas na atividade de tratamento [10], motivo pelo qual é de extrema relevância e desafiador na realidade prática averiguar numa atividade de tratamento quem será o controlador, operador, ou se haverá controladores conjuntos (artigo 26, do GDPR), para a definição das respectivas responsabilidades.

Referências
[1] A título de informação, com relação às sanções administrativas previstas nos artigos 52-54 da LGPD, vale dizer que a eficácia destas ocorreu a partir do dia 1º de agosto de 2021, conforme previsão do inciso I-A, do artigo 65, da LGPD, o qual foi incluído pela Lei nº 14.010/20 (que se originou do Projeto de Lei nº 1.179/20, que dispunha sobre o regime jurídico emergencial e transitório das relações jurídicas de Direito Privado durante a pandemia da Covid-19). (BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 22 abr. 2022.)

[2] REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Europeia. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 22 abr. 2022.

[3] BRASIL. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. p. 7. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em: 22 abr. 2022.

[4] BRASIL. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. p. 7. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em: 22 abr. 2022.

[5] BRASIL. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. p. 16. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em: 22 abr. 2022.

[6] UNIÃO EUROPEIA. EUROPEAN DATA PROTECTION BOARD (EDPB). Guidelines 07/2020 on the concepts of controller and processor in the GDPR. set. 2020. p. 3 Disponível em: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_nl. Acesso em: 22 abr. 2022.

[7] BRASIL. Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília-DF. Maio de 2021. p. 6. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf. Acesso em: 22 abr. 2022.

[8] A título de informação, Ann Cavoukian, ex-comissária de Informação e Privacidade da Província de Ontário, no Canadá, foi quem desenvolveu o conceito do privacy by design, na década de 1990, e propôs 7 princípios fundamentais do privacy by design. Conforme entendimento do Professor Carlos Affonso Pereira de Souza, "Um fator importante do conceito de privacy by design é o fato de que a proteção de dados não será apenas assegurada pelo cumprimento de parâmetros regulatórios, mas sim por meio de um repensar por parte do agente de tratamento de dados sobre como a sua atividade pode impactar o usuário e terceiros e traduzir isso em medidas que transformam os processos de criação, desenvolvimento, aplicação e avaliação de produtos e serviços". (SOUZA, Carlos Affonso Pereira de. Segurança e sigilo dos Dados Pessoais: primeiras impressões à luz da Lei 13.709/2018. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coords.). Lei geral de proteção de dados pessoais e suas repercussões no direito brasileiro. 1. ed. São Paulo: Thomson Reuters Brasil, 2019. p. 428.).

[9] Confira-se a íntegra dos sete princípios fundamentais do privacy by design (Ann Cavoukian). Disponível em: https://iapp.org/media/pdf/resource_center/pbd_implement_7found_principles.pdf. Acesso em: 22 abr. 2022.

[10] UNIÃO EUROPEIA. EUROPEAN DATA PROTECTION BOARD (EDPB). Guidelines 07/2020 on the concepts of controller and processor in the GDPR. set. 2020. p. 3. Disponível em: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_nl. Acesso em: 22 abr. 2022.

Autores

  • Brave

    é advogada especialista em Direito Público e Privado (Emerj), pós-graduanda em Direito dos Contratos (PUC-Rio) e possui certificação DPO-EXIN.

Tags:

Encontrou um erro? Avise nossa equipe!