Escolar Documentos
Profissional Documentos
Cultura Documentos
Segundo a ANPD, apenas as principais decisões que versem sobre os elementos essenciais
para o cumprimento da finalidade do tratamento serão tomadas pelo controlador. Nesse
sentido, a finalidade do tratamento deverá sempre ser definida pelo controlador.
O operador, por sua vez, é a pessoa que realiza o tratamento de dados pessoais na prática e
em nome e interesse do controlador. O operador só pode agir no limite das atribuições
determinadas pelo controlador.
A ANPD, no guia orientativo, deixou claro que o operador deve ser uma entidade distinta
do controlador. Dessa forma, o empregado não poderá ser considerado operador se realizar
o tratamento de dados que estejam em poder do empregador durante o exercício de suas
atribuições.
Tal definição é muito importante uma vez que o artigo 42 da LGPD afirma que o operador
só será responsabilizado quando descumprir as obrigações da legislação de proteção de
dados ou não seguir as instruções lícitas do controlador.
Para que a responsabilidade do operador seja afastada, é necessário a prova de que este
seguiu as instruções do controlador. Para tal comprovação, é imprescindível que essas
orientações estejam previstas no contrato assinado entre as partes ou outro documento
válido. Além disso, deve haver registro das operações de tratamento de dados.
O controlador, por sua vez, no caso de o operador não seguir as regras por ele instituídas no
contrato, poderá arguir a responsabilidade solidária deste. Nesse caso, a LGPD criou a
figura do controlador por equiparação (artigo 42, §1º, I).
Ressalte-se que, caso fique comprovado que o tratamento irregular se deu por ato do
operador, é possível o direito de regresso. Tem-se, portanto, mais uma vez a importância
de que as instruções a serem seguidas pelo operador e o próprio direito de regresso estejam
previstos contratualmente.
Os agentes de tratamento são definidos para cada operação de tratamento. Assim, em caso
de contratos que abranjam diferentes operações, a mesma pessoa poderá ser controladora e
operadora.
Por fim, a responsabilidade dos agentes de tratamento pode ser excluída quando estes
provarem que (1) não realizaram o tratamento de dados pessoais; (2) embora tenham
realizado o tratamento, não houve violação à legislação de proteção de dados ou (3) o dano
é decorrente de culpa exclusiva do titular dos dados ou de terceiro (artigo 43 da LGPD).
3. Controladoria conjunta
Imagine a seguinte situação: uma empresa contrata um terceiro para gestão da folha de
pagamento. Tanto o terceiro prestador de serviços, quanto a empresa contratante,
empregadora, possuem o poder de definir como serão tratados os dados dos empregados,
bem como a finalidade do tratamento.
Nesse caso, como definir quem exercerá o papel de controlador e operador dos dados?
Apesar de a LGPD não prever essa possibilidade, a ANPD, no guia orientativo publicado
em abril de 2022, afirmou que é possível que uma mesma operação de tratamento de dados
pessoais envolva mais de um controlador.
A controladoria conjunta deve ser definida por meio de contrato, os controladores devem
acordar as responsabilidades, especialmente em relação ao exercício dos direitos do titular
dos dados.
Nas decisões comuns, duas ou mais entidades possuem uma intenção comum sobre as
finalidades e meios de tratamento e tomam decisões em conjunto. Em contrapartida, nas
decisões convergentes existem decisões distintas sendo tomadas, porém elas se
complementam de tal forma que o tratamento não seria possível sem a participação de
ambos os controladores.
Por fim, importante deixar claro que não haverá controladoria conjunta se os objetivos do
tratamento forem distintos.
4. Conclusão
Analisando os conceitos de controlador e operador de dados pessoais, bem como as
responsabilidades de ambos os agentes de tratamento, vê-se a importância de fixar
contratualmente, nos casos em que haverá tratamento de dados pessoais na prestação do
serviço, os papéis dos contratantes.
O controlador, além de ser o responsável pela gestão dos direitos dos titulares e responder
perante a Autoridade Nacional de Dados Pessoais, deverá definir as funções do operador,
bem como se dará o tratamento por ele realizado.
Por outro lado, caso o operador comprove que agiu nos limites da lei e segundo as
orientações lícita do controlador, não será responsabilizado.
Assim, é importante o conhecimento profundo desses conceitos, bem como a forma que se
dará as operações de tratamento de dados pessoais para a elaboração do contrato.
[1] Autoridade Nacional de Proteção de Dados · Guia Orientativo para Definições dos
Agentes de Tratamento de Dados Pessoais e do Encarregado. https://www.gov.br/anpd/pt-
br/documentos-e-
publicacoes/guia_agentes_de_tratamento_e_encarregado___defeso_eleitoral.pdf. Acesso
em 15/11/2022
Bruna Noronha Enis é advogada no Senac-MG, graduada em Direito pela Universidade
Federal de Minas Gerais e pós-graduanda em compliance, LGPD e prática trabalhista pelo
Instituto de Estudos Previdenciários.