No âmbito da Lei Geral de Proteção de Dados é perceptível a inserção de um novo vocabulário ao ordenamento jurídico, ao mesmo tempo que são incorporadas novas funções e concepções. Assim, nos são apresentadas duas figuras quando do tratamento de dados: o controlador e o operador. A delimitação de cada um é importante não só para eventuais responsabilizações, mas também para viabilizar o exercício de direitos pelo titular. Dessa forma esse artigo irá, de maneira bem introdutória, apresentar esses dois agentes de tratamento na perspectiva brasileira e da influência do contexto europeu.
Inicialmente cumpre observar que tanto controlador quanto operador são “agentes de tratamento”.1 Apesar de parecer simplória essa constatação é importante destacar a utilização do termo, especialmente para endereçar a ambos os deveres quanto a adoção de medidas técnicas e de segurança e sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados. Desta forma, ainda que na lei se encontrem normas específicas a cada um há também aquelas que englobam esses agentes.
Comecemos pelo controlador. Segundo disposto no art.5º, VI, é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Diferente da figura do titular, o qual é apenas pessoa natural, o controlador pode variar desde grandes empresas e entidades administrativas até microempresários e pequenas prefeituras, por exemplo. Essa maior elasticidade ratifica o caráter transversal da LGPD, levando-a aos mais diferentes seguimentos.
O fator distintivo do controlador está no seu poder decisório na escolha das finalidades e meios do tratamento de dados. É quem vai indicar a base legal específica, os dados que serão utilizados, a forma como serão tratados, bem como o tempo que serão armazenados. Cabe a ele então as questões essenciais do tratamento. Essa afirmação nos permite concluir que pontos não essenciais podem ficar a cargo do operador, como a escolha de software e detalhamento das medidas de prevenção e segurança.2
Além desse ponto principal há também obrigações específicas como a elaboração de um relatório de impacto quando solicitado pela ANPD e o recebimento dos pedidos de informação por parte dos titulares.
Em termos de comparação nossa legislação absorveu alguns pontos da concepção europeia do controlador. Contudo, no Regulamento europeu o controller (“responsável”, no português de Portugal) possui uma especificação não explícita na nossa lei: a figura da controladoria conjunta (joint controllers). Ciente disso, a ANPD, em sua Guia definiu-a como a “determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD”.3
Além da constatação de mais de um controlador a Autoridade ainda adiciona dois critérios: o interesse mútuo e a tomada de decisões comuns ou convergentes sobre as finalidades e meios. Por interesses comuns entende-se as intenções comuns, enquanto convergentes seriam as decisões que, embora distintas, se complementam, sem as quais o tratamento não seria possível.
Estabelecidas as questões mais básicas do controlador partimos então para o operador (processor, em inglês; subcontratante, em português de Portugal). Este, por sua vez, não deterá poder decisório sobre os elementos essenciais do tratamento, mas apenas executará as instruções dadas pelo controlador, mediante acordo por eles celebrado. Apesar de estar vinculado às orientações ele também deve se atentar a possíveis normas e regulamentações de sua área, conforme art.39 da LGPD.
Da mesma forma que o controlador é um conceito amplo, também será do operador, abrangendo tanto pessoa natural ou jurídica, de direito público ou privado.
É de suma importância que o operador não exceda às suas funções, pois caso comece a definir finalidades e meios essenciais poderá vir a ser considerado controlador, vindo a atrair atribuições e responsabilidades típicas dessa posição, ao mesmo tempo, a depender do caso, pode vir a sofrer sanções administrativas.
Uma falsa correlação que pode ocorrer é dizer que os funcionários do controlador serão os operadores. Operador e controlador, como bem lembra a ANPD, serão pessoas distintas, não permitindo assim que um profissional subordinado seja caracterizado como operador.4
Outro ponto trazido também pela ANPD em seu Guia, mas não dito na LGPD, é a figura do suboperador (sub-processor, em inglês;5 subcontratante, em português de Portugal).6 Ela ocorre quando o próprio operador contrata outro para realizar alguma atividade relacionada ao tratamento, auxiliando-o. Segundo o Guia é recomendável que o operador procure autorização genérica ou específica do controlador, a depender do caso, que o permita realizar essa contratação. Desta forma, apesar de estabelecer relação jurídica com o operador permanece adstrito aos limites do controlador.
Em termos teóricos a distribuição de cada uma dessas funções parece simples, mas na prática a delimitação de quem é quem pode ser complexa. Vários nuances podem ocorrer: podem existir diferentes controladores que almejam uma finalidade comum, mas que tratam a mesma base de dados para fins próprios; pode o controlador contratar uma série de operadores; ainda pode ocorrer de um agente disponibilizar uma plataforma ou sistema de infraestrutura comum a quem desejar utilizá-lo e, a depender do caso, pode este agente ser enquadrado como operador ou controlador.
Por esses motivos tanto a Autoridade Nacional7 quanto o Comitê Europeu para a Proteção de Dados8 destacam que mais do que é acordado entre os agentes, o contexto fático será um dos principais fatores a serem analisados. Assim se em um contrato está previsto que a empresa X é controlador e a empresa Z é operador, mas as duas definem conjuntamente as finalidades e meios, teremos então um caso de controladoria conjunta.
É certo que essa breve análise não consegue abarcar todas as questões nebulosas quanto a estes agentes de tratamento, mas permite compreender os principais contornos de cada um e a forma como se relacionam.
____________________
Referências
________________________________________
1. Art. 5º Para os fins desta Lei, considera-se: IX – agentes de tratamento: o controlador e o operador.
2. “17. A identificação do controlador deve partir do conceito legal e dos parâmetros auxiliares indicados neste Guia, sempre considerando o contexto fático e as circunstâncias relevantes do caso. O papel de controlador pode decorrer expressamente de obrigações estipuladas em instrumentos legais e regulamentares ou em contrato firmado entre as partes. Não obstante, a efetiva atividade desempenhada por uma organização pode se distanciar do que estabelecem as disposições jurídicas formais, razão pela qual é de suma importância avaliar se o suposto controlador é, de fato, o responsável pelas principais decisões relativas ao tratamento”. BRASIL, Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado. V. 2.0. Brasília. Abr. 2022. p.8. Disponível em: . Acesso em: 24 maio 2022.
3. BRASIL, Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado. V. 2.0. Brasília. Abr. 2022. p.14. Disponível em: https://bit.ly/3z2N5pk. Acesso em: 24 maio 2022
4. BRASIL, Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado. V. 2.0. Brasília. Abr. 2022. p.18. Disponível em: https://bit.ly/3z2N5pk. Acesso em: 24 maio 2022
5. EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR. V.2.0. jul. 2021. Disponível em: https://bit.ly/38SIivU. Acesso em: 24 maio 2022.
6. A tradução da Guidelines 07/2020 para o português de Portugal parece ter optado por definir tanto operador como suboperador como “subcontratantes”.
7. Vide ponto 17 do Guia Orientativo, anteriormente citado.
8. Segundo o ponto 26 da Orientação 07/2020: “A necessidade de avaliação factual significa também que a função de um responsável pelo tratamento não resulta da natureza de uma entidade que está a tratar dados, mas das suas atividades concretas Adotadas – Após consulta pública 14 num contexto específico. Por outras palavras, a mesma entidade pode agir na qualidade de responsável pelo tratamento em relação a determinadas operações de tratamento e, simultaneamente, na qualidade de subcontratante em relação a outras, pelo que a qualificação como responsável pelo tratamento ou como subcontratante tem de ser analisada face a cada atividade de tratamento de dados específica.”. EDPB, Orientações 07/2020 sobre os conceitos de responsável pelo tratamento e subcontratante no RGPD. V.2.0. jul. 2021. pt. Disponível em: https://bit.ly/3wQytrt. Acesso em: 24 maio de 2022.
