OPINIÃO

Contratos e responsabilidade pelo tratamento de

dados pessoais
27 de novembro de 2022, 6h32

Por Bruna Noronha Enis

1. Definição de controlador e operador

A Lei Geral de Proteção de Dados (LGPD) prevê que são agentes de tratamento de dados o
controlador e o operador (artigo 5º, IX).

O controlador é a pessoa a quem competem as

decisões referentes ao tratamento de dados
pessoais. É o dono do dado, aquele que irá
determinar quais dados serão tratados, como serão
tratados, a finalidade, o período de tratamento, se
serão compartilhados com terceiros, dentre outros.
Ao controlador cabem todas as decisões sobre a
gestão dos dados.

A Autoridade Nacional de Proteção de Dados (ANPD), no Guia Orientativo para

Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado [1], afirmou
que para definição do papel de controlador não é necessário que todas as decisões sejam
tomadas por ele.

Segundo a ANPD, apenas as principais decisões que versem sobre os elementos essenciais
para o cumprimento da finalidade do tratamento serão tomadas pelo controlador. Nesse
sentido, a finalidade do tratamento deverá sempre ser definida pelo controlador.

O operador, por sua vez, é a pessoa que realiza o tratamento de dados pessoais na prática e
em nome e interesse do controlador. O operador só pode agir no limite das atribuições
determinadas pelo controlador.

A ANPD, no guia orientativo, deixou claro que o operador deve ser uma entidade distinta
do controlador. Dessa forma, o empregado não poderá ser considerado operador se realizar
o tratamento de dados que estejam em poder do empregador durante o exercício de suas
atribuições.

2. Responsabilidade do controlador e do operador

Na celebração de contratos que envolvam o tratamento de dados pessoais é imprescindível
que sejam definidos os papéis dos contratantes nas operações de tratamento.

Tal definição é muito importante uma vez que o artigo 42 da LGPD afirma que o operador
só será responsabilizado quando descumprir as obrigações da legislação de proteção de
dados ou não seguir as instruções lícitas do controlador.

Para que a responsabilidade do operador seja afastada, é necessário a prova de que este
seguiu as instruções do controlador. Para tal comprovação, é imprescindível que essas
orientações estejam previstas no contrato assinado entre as partes ou outro documento
válido. Além disso, deve haver registro das operações de tratamento de dados.

O controlador, por sua vez, no caso de o operador não seguir as regras por ele instituídas no
contrato, poderá arguir a responsabilidade solidária deste. Nesse caso, a LGPD criou a
figura do controlador por equiparação (artigo 42, §1º, I).

Ressalte-se que, caso fique comprovado que o tratamento irregular se deu por ato do
operador, é possível o direito de regresso. Tem-se, portanto, mais uma vez a importância
de que as instruções a serem seguidas pelo operador e o próprio direito de regresso estejam
previstos contratualmente.

Além da responsabilidade em caso de tratamento irregular de dados pessoais, a definição

dos papéis de controlador e operador também é importante pois a LGPD atribui obrigações
específicas ao controlador: elaboração do relatório de impacto à proteção de dados
pessoais, comprovar a validade do consentimento obtido do titular, comunicação da
Autoridade Nacional de Proteção de Dados no caso de incidente de segurança.

Os agentes de tratamento são definidos para cada operação de tratamento. Assim, em caso
de contratos que abranjam diferentes operações, a mesma pessoa poderá ser controladora e
operadora.

Por fim, a responsabilidade dos agentes de tratamento pode ser excluída quando estes
provarem que (1) não realizaram o tratamento de dados pessoais; (2) embora tenham
realizado o tratamento, não houve violação à legislação de proteção de dados ou (3) o dano
é decorrente de culpa exclusiva do titular dos dados ou de terceiro (artigo 43 da LGPD).
3. Controladoria conjunta
Imagine a seguinte situação: uma empresa contrata um terceiro para gestão da folha de
pagamento. Tanto o terceiro prestador de serviços, quanto a empresa contratante,
empregadora, possuem o poder de definir como serão tratados os dados dos empregados,
bem como a finalidade do tratamento.

Nesse caso, como definir quem exercerá o papel de controlador e operador dos dados?

Segundo a General Data Protection Regulation (GDPR), regulamento do direito europeu

sobre privacidade e proteção de dados pessoais, é possível a existência de controladoria
conjunta, ou seja, a existência de dois controladores na mesma operação de tratamento de
dados.

O regulamento europeu define controlador como "a pessoa singular ou coletiva,

autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto
com outras, determina as finalidades e os meios de tratamento dos dados pessoais" (artigo
4º, item 7, da GDPR).

Apesar de a LGPD não prever essa possibilidade, a ANPD, no guia orientativo publicado
em abril de 2022, afirmou que é possível que uma mesma operação de tratamento de dados
pessoais envolva mais de um controlador.

Segundo o artigo 26 da GDPR, a controladora conjunta ocorrerá quando dois ou mais

responsáveis pelo tratamento determinarem conjuntamente as finalidades e os meios do
tratamento. Nesse caso, ambos serão responsáveis conjuntos pelo tratamento.

A controladoria conjunta deve ser definida por meio de contrato, os controladores devem
acordar as responsabilidades, especialmente em relação ao exercício dos direitos do titular
dos dados.

Segundo o guia orientativo da ANPD, a finalidade do tratamento pode ocorrer a partir de

decisões comuns ou convergentes:

Nas decisões comuns, duas ou mais entidades possuem uma intenção comum sobre as
finalidades e meios de tratamento e tomam decisões em conjunto. Em contrapartida, nas
decisões convergentes existem decisões distintas sendo tomadas, porém elas se
complementam de tal forma que o tratamento não seria possível sem a participação de
ambos os controladores.
Por fim, importante deixar claro que não haverá controladoria conjunta se os objetivos do
tratamento forem distintos.

No caso de controladoria conjunta, a responsabilidade dos controladores será solidária, nos

termos do artigo 42 da LGPD.

4. Conclusão
Analisando os conceitos de controlador e operador de dados pessoais, bem como as
responsabilidades de ambos os agentes de tratamento, vê-se a importância de fixar
contratualmente, nos casos em que haverá tratamento de dados pessoais na prestação do
serviço, os papéis dos contratantes.

O controlador, além de ser o responsável pela gestão dos direitos dos titulares e responder
perante a Autoridade Nacional de Dados Pessoais, deverá definir as funções do operador,
bem como se dará o tratamento por ele realizado.

É imprescindível que todas essas definições sejam formalizadas, pois, no caso de

responsabilização por tratamento irregular, o controlador poderá se valer de tais
documentos para arguir a responsabilidade solidária do operador, caso este tenha agido fora
das orientações que lhe foram repassadas, bem como exercer o seu direito de regresso em
face do operador.

Por outro lado, caso o operador comprove que agiu nos limites da lei e segundo as
orientações lícita do controlador, não será responsabilizado.

No caso de controladoria conjunta, a necessidade de que o contrato especifique as

obrigações e deveres de cada controlador é ainda mais importante, visto que a
responsabilidade será sempre solidária.

Assim, é importante o conhecimento profundo desses conceitos, bem como a forma que se
dará as operações de tratamento de dados pessoais para a elaboração do contrato.

[1] Autoridade Nacional de Proteção de Dados · Guia Orientativo para Definições dos
Agentes de Tratamento de Dados Pessoais e do Encarregado. https://www.gov.br/anpd/pt-
br/documentos-e-
publicacoes/guia_agentes_de_tratamento_e_encarregado___defeso_eleitoral.pdf. Acesso
em 15/11/2022
Bruna Noronha Enis é advogada no Senac-MG, graduada em Direito pela Universidade
Federal de Minas Gerais e pós-graduanda em compliance, LGPD e prática trabalhista pelo
Instituto de Estudos Previdenciários.

Revista Consultor Jurídico, 27 de novembro de 2022, 6h32