Percebam que principal diferença entre o controlador e o operador é o poder de decisão. CRÉDITOS: Divulgação
Ao determinar que o controlador é o responsável pelas principais decisões é importante salientar que isso é buscado na prática das relações estabelecidas e não somente no instrumento contratual que rege essas relações.
23-01-2025 às 11h38
Levindo Ramos*
Importante tema a se debater em relação à proteção de dados pessoais é o estabelecimento das responsabilidades nos contratos, especialmente, entre empresas e entre órgãos públicos e prestadores de serviço em geral. Com isso, buscamos tratar nesta coluna de aspectos práticos de aplicação da proteção de dados da forma como está legalmente estabelecida, deixando para outros espaços o debate sobre a conveniência e a oportunidade política de novas regas ou outras abordagens que envolvam o tema.
O estabelecimento de responsabilidades de forma clara e objetiva nos contratos tem sua importância na própria proteção dos titulares dos dados pessoais, mas, também, dos sujeitos contratuais, na medida em que distribui em equilíbrio os ônus e obrigações, quando há tratamento dos dados em uma determinada relação jurídica.
Para discutirmos esse tema, necessário se faz recorrer à Lei Geral de Proteção de Dados – LGPD para buscar as figuras de controlador e do operador de dados pessoais. O controlador é definido como pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. Ou seja, o controlador é um agente de tratamento de dados responsável pelas decisões relativas ao tratamento e por definir as finalidades para as quais aqueles dados pessoais, decorrentes do contrato, serão utilizados. As finalidades dizem respeito aos objetivos que justificam a realização de um determinado tratamento.
Ao determinar que o controlador é o responsável pelas principais decisões é importante salientar que isso é buscado na prática das relações estabelecidas e não somente no instrumento contratual que rege essas relações. O controlador é o responsável, podendo delega-las ao operador, mas mantendo sobre elas o seu poder diretivo.
No âmbito do direito público, em razão da desconcentração administrativa, os órgãos públicos exercem funções típicas de controladores, devendo cumprir os deveres de transparência e nomeação do encarregado pelo tratamento de dados do órgão, com o destaque para que o compartilhamento de dados pessoais atenda as finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas.
Outro aspecto que pode ocorrer decorrente das relações contratuais é a existência de controladores conjuntos, quando mais de um sujeito define as finalidades e toma decisões decorrentes da relação contratual. Um exemplo disso são os contratos de terceirização, em que o contratante necessita dos dados pessoais para a criação de endereços eletrônicos, ou controle de entrada e a empresa fornecedora da mão de obra necessita dos dados para as finalidades típicas da contratação de mão de obra.
A Autoridade Nacional de Proteção de Dados – ANPD elenca como requisitos próprios da existência de controladores conjuntos a existência de mais de um controlador com poderes de decisão sobre o tratamento; a existência de interesse mútuo, com finalidades próprias; e, se as decisões são comuns ou convergentes sobre as finalidades do tratamento.
Outro agente de tratamento de dados pessoais é o operador, legalmente definido como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. É responsabilidade do operador realizar o tratamento de dados de acordo com as instruções fornecidas pelo controlador, que é também responsável por verificar o cumprimento das instruções e normas por ele emanadas.
Percebam que principal diferença entre o controlador e o operador é o poder de decisão, já que o operador só pode agir nos limites das finalidades e determinações do controlador, podendo responder pelos excessos que cometa.
Os direitos dos titulares dos dados pessoais, como a confirmação da existência de tratamento; o acesso aos dados; a correção de dados incompletos ou inexatos; a eliminação dos dados; dentre outros, são exercidos em face do controlador, que possui obrigação legal de atendê-los. É facultado ao titular peticionar à ANPD contra o controlador que não atenda seus pedidos.
Quanto às responsabilidades dos agentes de tratamento (controlador e operador) a LGPD estabelece que, no exercício de atividade de tratamento de dados, aquele que causar dano patrimonial, moral, individual ou coletivo, violando a legislação de proteção de dados, são obrigados a repará-lo.
O operador responderá conjuntamente com o controlador quando, igualmente descumprir a legislação de proteção de dados ou quando não tiver seguido as instruções do controlador, caso em que o operador será equiparado ao controlador. Poderá ser determinada judicialmente a inversão ônus da prova a favor do titular dos dados, incumbindo ao controlador e ao operador a obrigação de demonstrar quais foram os tratamentos realizados e sobre quais dados.
Vale destacar que os agentes não responderão pelos danos, quando provarem que não tiverem realizado aquele tratamento a eles atribuídos; quando agirem em concordância com a legislação de proteção de dados, ou, ainda, quando o dano for de culpa exclusiva do titular ou de terceiro, razão pela qual são importantes o registro das atividades de tratamento e a delimitação das responsabilidades a cada um dos sujeitos contratuais.
*Levindo Ramos é Mestre e Doutor em Direito pela UFMG, Professor e Advogado, Consultor na área de Governança Algorítmíca e LGPD.
