Contratos e responsabilidade pelo tratamento de dados pessoais

1. Definição de controlador e operador
A Lei Geral de Proteção de Dados (LGPD) prevê que são agentes de tratamento de dados o controlador e o operador (artigo 5º, IX).

A Autoridade Nacional de Proteção de Dados (ANPD), no Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado [1], afirmou que para definição do papel de controlador não é necessário que todas as decisões sejam tomadas por ele.

Segundo a ANPD, apenas as principais decisões que versem sobre os elementos essenciais para o cumprimento da finalidade do tratamento serão tomadas pelo controlador. Nesse sentido, a finalidade do tratamento deverá sempre ser definida pelo controlador.

O operador, por sua vez, é a pessoa que realiza o tratamento de dados pessoais na prática e em nome e interesse do controlador. O operador só pode agir no limite das atribuições determinadas pelo controlador.

A ANPD, no guia orientativo, deixou claro que o operador deve ser uma entidade distinta do controlador. Dessa forma, o empregado não poderá ser considerado operador se realizar o tratamento de dados que estejam em poder do empregador durante o exercício de suas atribuições.

2. Responsabilidade do controlador e do operador
Na celebração de contratos que envolvam o tratamento de dados pessoais é imprescindível que sejam definidos os papéis dos contratantes nas operações de tratamento.

Tal definição é muito importante uma vez que o artigo 42 da LGPD afirma que o operador só será responsabilizado quando descumprir as obrigações da legislação de proteção de dados ou não seguir as instruções lícitas do controlador.

Para que a responsabilidade do operador seja afastada, é necessário a prova de que este seguiu as instruções do controlador. Para tal comprovação, é imprescindível que essas orientações estejam previstas no contrato assinado entre as partes ou outro documento válido. Além disso, deve haver registro das operações de tratamento de dados.

O controlador, por sua vez, no caso de o operador não seguir as regras por ele instituídas no contrato, poderá arguir a responsabilidade solidária deste. Nesse caso, a LGPD criou a figura do controlador por equiparação (artigo 42, §1º, I).

Ressalte-se que, caso fique comprovado que o tratamento irregular se deu por ato do operador, é possível o direito de regresso. Tem-se, portanto, mais uma vez a importância de que as instruções a serem seguidas pelo operador e o próprio direito de regresso estejam previstos contratualmente.

Além da responsabilidade em caso de tratamento irregular de dados pessoais, a definição dos papéis de controlador e operador também é importante pois a LGPD atribui obrigações específicas ao controlador: elaboração do relatório de impacto à proteção de dados pessoais, comprovar a validade do consentimento obtido do titular, comunicação da Autoridade Nacional de Proteção de Dados no caso de incidente de segurança.

Os agentes de tratamento são definidos para cada operação de tratamento. Assim, em caso de contratos que abranjam diferentes operações, a mesma pessoa poderá ser controladora e operadora.

Por fim, a responsabilidade dos agentes de tratamento pode ser excluída quando estes provarem que (1) não realizaram o tratamento de dados pessoais; (2) embora tenham realizado o tratamento, não houve violação à legislação de proteção de dados ou (3) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro (artigo 43 da LGPD).

3. Controladoria conjunta
Imagine a seguinte situação: uma empresa contrata um terceiro para gestão da folha de pagamento. Tanto o terceiro prestador de serviços, quanto a empresa contratante, empregadora, possuem o poder de definir como serão tratados os dados dos empregados, bem como a finalidade do tratamento.

Nesse caso, como definir quem exercerá o papel de controlador e operador dos dados?

Segundo a General Data Protection Regulation (GDPR), regulamento do direito europeu sobre privacidade e proteção de dados pessoais, é possível a existência de controladoria conjunta, ou seja, a existência de dois controladores na mesma operação de tratamento de dados.

O regulamento europeu define controlador como "a pessoa singular ou coletiva, autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais" (artigo 4º, item 7, da GDPR).

Apesar de a LGPD não prever essa possibilidade, a ANPD, no guia orientativo publicado em abril de 2022, afirmou que é possível que uma mesma operação de tratamento de dados pessoais envolva mais de um controlador.

Segundo o artigo 26 da GDPR, a controladora conjunta ocorrerá quando dois ou mais responsáveis pelo tratamento determinarem conjuntamente as finalidades e os meios do tratamento. Nesse caso, ambos serão responsáveis conjuntos pelo tratamento.

A controladoria conjunta deve ser definida por meio de contrato, os controladores devem acordar as responsabilidades, especialmente em relação ao exercício dos direitos do titular dos dados.

Segundo o guia orientativo da ANPD, a finalidade do tratamento pode ocorrer a partir de decisões comuns ou convergentes:

Nas decisões comuns, duas ou mais entidades possuem uma intenção comum sobre as finalidades e meios de tratamento e tomam decisões em conjunto. Em contrapartida, nas decisões convergentes existem decisões distintas sendo tomadas, porém elas se complementam de tal forma que o tratamento não seria possível sem a participação de ambos os controladores.

Por fim, importante deixar claro que não haverá controladoria conjunta se os objetivos do tratamento forem distintos.

No caso de controladoria conjunta, a responsabilidade dos controladores será solidária, nos termos do artigo 42 da LGPD.

4. Conclusão
Analisando os conceitos de controlador e operador de dados pessoais, bem como as responsabilidades de ambos os agentes de tratamento, vê-se a importância de fixar contratualmente, nos casos em que haverá tratamento de dados pessoais na prestação do serviço, os papéis dos contratantes.

O controlador, além de ser o responsável pela gestão dos direitos dos titulares e responder perante a Autoridade Nacional de Dados Pessoais, deverá definir as funções do operador, bem como se dará o tratamento por ele realizado.

É imprescindível que todas essas definições sejam formalizadas, pois, no caso de responsabilização por tratamento irregular, o controlador poderá se valer de tais documentos para arguir a responsabilidade solidária do operador, caso este tenha agido fora das orientações que lhe foram repassadas, bem como exercer o seu direito de regresso em face do operador.

Por outro lado, caso o operador comprove que agiu nos limites da lei e segundo as orientações lícita do controlador, não será responsabilizado.

No caso de controladoria conjunta, a necessidade de que o contrato especifique as obrigações e deveres de cada controlador é ainda mais importante, visto que a responsabilidade será sempre solidária.

Assim, é importante o conhecimento profundo desses conceitos, bem como a forma que se dará as operações de tratamento de dados pessoais para a elaboração do contrato.