A Lei Geral de Proteção de Dados Pessoais (LGPD) representa um marco importante, na medida em que dispõe sobre o seu tratamento por pessoas físicas e jurídicas, apresenta conceitos e estrutura nacionalmente um sistema efetivo de proteção de dados pessoais. Ao mesmo tempo, a LGPD deixa espaços para interpretações e para regulamentações da Autoridade Nacional de Proteção de Dados (ANPD), a quem incumbe zelar pelos dados pessoais, bem como regulamentar a LGPD e o seu enforcement. 

Dos assuntos que têm suscitado dúvidas, destacam-se o conceito e os aspectos relacionados aos agentes de tratamento, quais sejam, o controlador e o operador. Neste artigo, você encontrará alguns esclarecimentos a respeito desses conceitos, feitos no intuito de auxiliar a atuação de organizações públicas e privadas no tratamento de dados pessoais. A elaboração do conteúdo foi baseada no Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado, produzido pela ANPD.

Para avaliar adequadamente o papel de cada entidade envolvida, deve-se primeiro identificar os dados pessoais tratados no contexto e também a finalidade desse tratamento. Se várias entidades estiverem envolvidas, é necessário avaliar se os fins e meios são determinados em conjunto, de forma a identificar a existência de co-controladoria. Nesse sentido, o fluxo abaixo pode ser de grande auxílio para identificação desses papéis.

Fatores determinantes na qualificação apropriada dos papéis: 

Fatores que indicam que você é um controlador: 

• Você obtém algum benefício ou tem algum interesse no tratamento, além do mero pagamento por serviços recebidos de outro controlador; 
• Você toma decisões em relação aos indivíduos envolvidos no tratamento (por exemplo, os titulares dos dados são seus funcionários); 
• As atividades de tratamento podem ser consideradas como naturalmente relacionadas à função ou às atividades de sua empresa que acarretam responsabilidades do ponto de vista de proteção de dados; 
• O tratamento refere-se à sua relação com os titulares dos dados, sejam eles empregados, clientes, membros etc.; 
• Você tem total autonomia para decidir como os dados pessoais são tratados; 
• Você confiou o tratamento de dados pessoais a uma organização externa para que tratasse os dados pessoais em seu nome. 

Fatores que indicam que você é um operador: 

• Você trata os dados pessoais para finalidades indicadas por e de acordo com suas instruções documentadas - você não tem uma finalidade própria para o tratamento dos dados pessoais; 
• Outro ator monitora suas atividades de tratamento, a fim de garantir que você cumpra  as instruções e os termos de contrato; 
• Você não busca atingir sua própria finalidade em relação ao tratamento, além daquela relativa ao seu próprio interesse comercial em fornecer serviços; 
• Você foi contratado para realizar atividades de tratamento específicas por alguém que,  por sua vez, foi contratado para tratar dados em nome de outro ator e de acordo com as  instruções por ele documentadas (você é um suboperador).

Co-controladoria 

A depender do contexto, uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador. Conforme a LGPD, art. 42, §1º, II, quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária, à exceção das hipóteses previstas no art. 43. Assim, embora a LGPD não explicite o conceito de controladoria conjunta (ou co-controladoria), é possível inferir que ele está contemplado no sistema jurídico de proteção de dados. A definição das funções dos co-controladores implica consequências no que diz respeito às funções dos agentes de tratamento e aos direitos dos titulares. No fluxo abaixo, você encontrará dicas para avaliar se você é controlador único ou co-controlador.

Terceiros e Destinatários

A lei não estabelece obrigações ou responsabilidades específicas para os destinatários e terceiros. Eles podem ser considerados conceitos relativos, no sentido que descrevem uma relação com um controlador ou operador a partir de uma perspectiva específica. Um controlador ou operador que divulga dados a um destinatário, por exemplo. Vale ressaltar que um destinatário de dados pessoais e um terceiro podem ser considerados simultaneamente como controlador ou operador a partir de outras perspectivas. A análise é contextual e deve levar em conta a situação específica! 

Terceiro é a pessoa natural ou jurídica, de direito público ou privado, diferente: 

1. do titular de dados; 
2. do controlador 
3. do operador; 
4. de pessoas que, sob a autoridade direta do controlador ou operador, são autorizados a tratar dados pessoais (não conceituado na GDPR). Exemplo: empregados, terceirizados, etc. 

Importante: Um empregado que obtém acesso a dados aos quais não está autorizado a acessar e para outros fins que não os do empregador, não se enquadra nesta  categoria “4”. Em vez disso, esse empregado deve ser considerado um terceiro em relação ao processamento realizado pelo empregador, na medida em que trata dados pessoais para seus próprios fins, distintos daqueles autorizados por seu empregador. Esse empregado será considerado um controlador e assumirá todas as consequências e responsabilidades resultantes em termos de tratamento de dados pessoais. 

Exemplos: 

1. O controlador pode contratar um operador e instruí-lo a transferir dados pessoais a  terceiros. Esse terceiro será então considerado um controlador em relação ao tratamento que realiza para os seus próprios fins. 
2. Serviços de limpeza:  

Uma empresa que contrata outra para limpeza de suas dependências físicas. Embora os  funcionários da empresa de limpeza possam, ocasionalmente, se deparar com dados enquanto se deslocam pelas dependências do contratante, suas tarefas podem ser executadas sem que quaisquer dados sejam acessados, devendo, inclusive, serem contratualmente proibidos de tratar dados que  o contratante mantém como controlador ou  operador. Esses terceiros não são contratados diretos e nem tampouco estão sob a subordinação da empresa contratante do serviço de limpeza. Não há qualquer intenção, por parte desta, que a terceirizada ou seus funcionários tratem dados pessoais em seu nome. A empresa terceirizada e seus funcionários serão, portanto, considerados “terceiros” e o controlador deve tomar as medidas de segurança necessárias para impedir acesso aos dados e estabelecer o dever de confidencialidade caso tais funcionários tenham contato “acidental” com esses dados. 

Destinatário, por sua vez, é a pessoa natural ou jurídica, de direito público ou privado, para quem os dados pessoais são divulgados. Essa definição abrange qualquer pessoa que receba dados pessoais, sejam eles terceiros ou não. 

Exemplos: 

1. Quando um controlador envia dados pessoais para outra entidade, um operador ou um terceiro, essa entidade é um destinatário. Um terceiro destinatário deve ser considerado um controlador para qualquer tratamento que realize para sua(s) própria(s) finalidade(s) após receber os dados. 
2. As agências de viagens que organizam viagens a pedido de seus próprios clientes. Dentro desse serviço, elas enviam os dados pessoais dos clientes para companhias aéreas, hotéis e organizações de excursões para a realização dos respectivos serviços. A agência de viagem, os hotéis, as companhias aéreas e os provedores de excursões devem ser vistos como controladores pelo tratamento que realizam em seus respectivos serviços. Não há relação operador x controlador. No entanto, as companhias aéreas, hotéis e fornecedores de excursões devem ser vistos como destinatários ao receber os dados pessoais submetidos pela agência de viagem.

Glaucio Monteiro Rosa é graduado em Ciência da Computação e Direito pela UniCarioca. Possui especialização em Redes de Computadores (PUC-RJ) e Segurança da Informação (UFRJ). Atuando há mais de 20 anos em diversas entidades da Administração Publica, sempre na área de Tecnologia (Desenvolvimento, Bancos de Dados, Auditoria, Gestão). Certificado DataPrivacy Brasil e DPO Exin. Atualmente é titular do departamento responsável pela implementação do Programa de Governança em Privacidade e Proteção de Dados do Serpro.

Fontes

Guidelines 07/2020 on the concepts of controller and processor in the GDPR . Acessível em: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020- concepts-controller-and-processor

Guia Orientativo para Definições dos Agentes de tratamento de dados Pessoais e do Encarregado. Acessível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf