You are currently viewing LGPD: ESCLARECENDO OS PAPÉIS DE CONTROLADOR E OPERADOR

LGPD: ESCLARECENDO OS PAPÉIS DE CONTROLADOR E OPERADOR

Por: Raphael Valentim [1] (*)

As definições de controlador e operador podem ser resumidas em
poucas linhas:

O controlador é aquele a quem competem as decisões referentes ao
tratamento de dados pessoais.
O operador é aquele que realiza o tratamento dos dados em nome do
controlador.

Uma questão recorrente nos processos de implementação à Lei Geral de
Proteção de Dados [2] é a definição de quem é o controlador e quem
é o operador dos dados pessoais.

Muitas vezes, durante a negociação, uma das partes aponta
contratualmente que ela deve ser a controladora dos dados, mas o que
isso significa realmente?

A Lei Geral de Proteção de Dados trouxe o conceito de agentes de
tratamento, o controlador e o operador.

Basicamente, as definições de controlador e operador podem ser
resumidas em poucas linhas: o controlador é aquele a quem competem as
decisões referentes ao tratamento de dados pessoais, e o operador é
aquele que realiza o tratamento dos dados em nome do controlador.

Apesar da definição ser simples, a sua aplicação prática gera
inúmeros desafios relacionados ao enquadramento das partes contratuais
em uma ou outra classificação.

Importante, acima de tudo, é que os papéis de controlador e operador
não estão relacionados necessariamente com as posições contratuais,
de contratante e contratado e, desta mesma forma, não é recomendado
que eles sejam tratados desta forma.

Os agentes de tratamento se definem pela relação que possuem com o
titular dos dados e pela forma como o tratamento dos dados pessoais é
realizado. Essa relação pode, inclusive, variar no curso da
interação com o titular dos dados.

Assim, devem ser considerados controladores aqueles que possuem
autonomia e independência com relação a utilização dos dados
pessoais, podendo decidir sobre a finalidade do tratamento dos dados, a
categoria de dados a serem coletados, qual o período de retenção,
dentre outras questões relacionadas diretamente com o tratamento dos
dados. Já o operador realizará as atividades de tratamento de dados,
sempre em nome do controlador.

Assim, é o caso das atividades de vendas online, na qual o portal que
realiza a venda é o controlador dos dados, enquanto o serviço de
transporte utilizado, nesta situação, atuará como operador, para
atender a finalidade específica de entregar os produtos para o
comprador.

Independentemente de ser controlador ou operador na relação de
tratamento de dados pessoais, a Lei Geral de Proteção de Dados aponta
responsabilidades para as duas partes, desde a necessidade de atender
todos os princípios relacionados ao tratamento dos dados pessoais, até
a necessidade de atender aos direitos dos titulares de dados e
determinações da Autoridade Nacional de Proteção de Dados.

Em razão destas disposições e da necessidade de organizar a forma
como o controlador e o operador atendem estes direitos, o
estabelecimento de cláusulas contratuais é recomendável. Mesmo que a
LGPD não traga expressamente esta necessidade.

Recomenda-se desta forma, definir contratualmente o objeto e duração
do tratamento dos dados, a natureza e a finalidade do tratamento de
dados, os tipos de dados pessoais envolvidos e os direitos e
obrigações das partes relacionados ao cumprimento das disposições da
Lei Geral de Proteção de Dados.

Com isso, busca-se um melhor relacionamento entre as partes com
relação a proteção de dados pessoais

*Raphael Valentim é associado sênior no escritório Loeser, Blanchet
e Hadad Advogados.