Captação Ideal Engenharia
invista em startups
LGPD

Controlador, Operador e Encarregado – Definição das Diferentes Funções na LGPD

Os papeis e suas atividades no cumprimento da LGPD

Percepções Jurídicas

Percepções JurídicasRafael Duarte é Advogado (OAB/RS sob o nº 102.923), pós-graduado em: Direito Público - Escola Superior da Magistratura Federal do Rio Grande do Sul | Direito Negocial Imobiliário - Escola Brasileira de Direito | Direito Imobiliário - Faculdade Legale/SP | Direito de Família e Sucessões - Faculdade Legale/SP. É membro da Comissão de Direito Imobiliário da OAB/RS e de Direito Sucessório do IBDFAM/RS. Atua na área empresarial com ênfase na consultoria jurídica para Startups e empresas tradicionais.

20/11/2020 08h20Atualizado há 1 semana
Por: Bruna Stein
Fonte: Rafael Duarte
297

Por Rafael Duarte

A Lei Geral de Proteção de Dados (Lei n. 13.709/18), depois da edição de diversas leis e medidas provisórias modificando o início de sua vigência, responsáveis, portanto, por criar um ambiente de insegurança acerca de quando ela, enfim, começaria a produzir efeitos jurídicos, encontra-se, enfim, em vigor, tornando-se urgente a adaptação de sociedades empresárias, associações, entidades governamentais e de toda e qualquer pessoa (física ou jurídica) que, no curso de suas atividades, tenha de gerir dados pessoais.

Dentre os diversos assuntos relacionados com a Lei Geral de Proteção de Dados – versão brasileira do General Data Protection Regulation (GDPR) europeu –, está a definição de quem são o controlador, o operador e o encarregado, quais suas funções e, principalmente, como será delimitada a responsabilidade de cada um.

O que é tratamento de dados?

Considerando que, segundo a LGPD, o controlador e o operador são integrantes do gênero “agentes de tratamento”, o primeiro passo para compreender de modo mais satisfatório o tema consiste em assimilar o que se entende por tratamento de dados. Ciente de que o tema é bastante novo e desconhecido para a imensa maioria dos brasileiros, o legislador teve a preocupação de criar um artigo específico (art. 5º da lei) apenas para definição de alguns termos relevantes.

No inciso X do art. 5º da LGPD, há a definição dada para o termo “tratamento”, afirmando ser: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”

Observa-se, assim, que o tratamento de dados envolverá qualquer operação que envolva dados pessoais, desde a coleta, até a própria eliminação de tais dados. Significa dizer, assim, que será considerado tratamento todo o ciclo de gestão dos dados, desde o ingresso da informação pessoal no banco de dados titularizado pelo agente de tratamento, até o seu ulterior descarte.

Explicado isso, a lei estabelece que haverá dois agentes de tratamento; ou seja, duas figuras reguladas na LGPD cuja função é assumir a responsabilidade pela realização desses vários verbos relacionados com o tratamento de dados. Esses dois agentes são o Controlador e o Operador.

Ocorre que, além do Controlador e do Operador, há uma terceira figura de grande relevância ao processo de consolidação das diretrizes da Lei Geral de Proteção de Dados. Trata-se do Encarregado, que também será analisado nesta publicação. 

Definições e funções do controlador e do operador:

Novamente, o ponto de partida será recorrer às definições trazidas pela própria Lei Geral de Proteção de Dados e, mais especificamente, pelo art. 5º da lei. Os incisos VI e VII da LGPD trazem as definições de Controlador e Operador, transcritas abaixo:

Art. 5º Para os fins desta Lei, considera-se: [...] VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Com a definição trazida pela lei, é possível perceber que existe uma ordem hierárquica instaurada pela lei entre essas duas figuras. Isso significa, em síntese, que o Controlador se encontra no “topo da pirâmide”, sendo o responsável direto pela tomada de decisões no que dizem respeito ao tratamento de dados pessoais. Por sua vez, o Operador realizará o tratamento de dados, mas em nome do Controlador e sob suas ordens.

O art. 39 da LGPD1 consolida essa ordem hierárquica entre os agentes, ao determinar a submissão do Operador às instruções expedidas pelo Controlador. Assim, o Operador deverá realizar o tratamento de dados de modo a respeitar tanto as diretrizes legais e infralegais (ex.: normas a serem elaboradas pela ANPD2), quanto os termos de uso e políticas de privacidade3 elaboradas pelo Controlador.

Outra diferença importante está na atribuição de funções ao Controlador. Por conta da sua maior ingerência no processo de tratamento de dados, ele possui duas atribuições muito relevantes: a) a elaboração do Relatório de Impacto à Proteção de Dados Pessoais; e b) a escolha do Encarregado.

O Relatório de Impacto à Proteção de Dados Pessoais está previsto no inciso XVII do art. 5º da LGPD, sendo definido como documento de responsabilidade do Controlador, que deverá conter toda a “descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.”4 Trata-se de imputação lógica: como o Controlador é o agente de tratamento com maior controle sobre o ciclo de manejo dos dados, é natural concluir que lhe caberá descrever todo este processo de gestão de tais informações pessoais, desde o seu ingresso até seu ulterior descarte. Outrossim, obriga-se o Controlador a promover a escolha do Encarregado, conforme determina o art. 41 da LGPD5 , figura que será abordada em tópico específico nesta publicação.

Ainda, quanto a quem pode exercer a função de Controlador e Operador, referida questão traz consigo uma distinção relevante em relação ao que consta da legislação europeia sobre proteção de dados (GDPR): no Brasil, as função de Controlador poderá ser realizada por qualquer pessoa natural ou jurídica, ao passo que, na Europa, apenas a pessoa jurídica poderá atuar como Controladora6.

Com o propósito de ilustrar como a divisão de funções entre Controlador e Operador será realizada na prática, podemos mencionar o seguinte exemplo hipotético: caso uma instituição financeira realize a contratação de uma sociedade empresarial de call center para fazer a interface com os seus clientes, coletando informações relevantes para a prestação dos serviços bancários, pode-se perceber que a empresa de call center será a Operadora, ao passo que a instituição financeira será a Controladora7.

Isso significa, portanto, que a empresa de call center deverá conhecer e observar a política de privacidade da instituição financeira controladora, bem como, no processo de tratamento dos dados de clientes, terá de se atentar à obtenção de dados que se amoldem ao legítimo interesse da instituição financeira8. Em termos concretos, segundo a Lei Geral de Proteção de Dados, os dados coletados devem ser consentâneos e suficientes para a prestação da atividade bancária; logo, dados que não digam respeito à atividade negocial não devem ser coletados, como, por exemplo, etnia e ideologia política do cliente, visto que não se relacionam com a boa execução dos serviços a serem prestados pela empresa. 

Encarregado – definição e atribuições:

Muito tem sido falado sobre o Encarregado, versão brasileira adaptada do DPO (Data Protection Officer), da GDPR; ocorre que algumas observações devem ser realizadas para o fim de deixar suficientemente claras as diferenças entre os sistemas europeu e brasileiro, notadamente quanto às particularidades do Encarregado nos termos da LPGD.

Primeiramente, a lei não deixa quaisquer dúvidas quanto à obrigatoriedade da nomeação de um encarregado para toda e qualquer pessoa (natural ou jurídica) que realize tratamento de dados, expandindo-se essa imposição, inclusive, para o Poder Público9 (art. 23, III, da LGPD). Essa imposição ampla consolida a ideia de que a preocupação da lei não está centrada em particularidades da pessoa que promove o tratamento de dados; a preocupação legal está concentrada na proteção do titular dos dados pessoais, estabelecendo obrigações para a iniciativa privada e para órgãos governamentais, visto que pouco importa quem estiver gerindo tais dados.

Quanto a quem poderá exercer a função de Encarregado, a atual redação da LGPD criou exigências bastante reduzidas, permitindo extrair as seguintes conclusões: a) poderá ser exercida por pessoa natural (física) ou jurídica; b) não há exigência de formação técnica específica para exercício da função; e c) não há garantia de autonomia ao Encarregado na realização de suas funções10. Essas características são potencialmente danosas, visto que, pela importância do cargo, a estipulação de pressupostos de formação técnico-jurídica específica e de autonomia do profissional apresentam-se essenciais; todavia, por ora, não possuem previsão legal expressa. 

Ainda, com base no § 2º do art. 41 da LGPD, dentre o rol de atividades, o Encarregado deverá receber reclamações e comunicações de titulares dos dados, prestar esclarecimentos, orientar os funcionários da Controladora, entre outras tarefas. A definição de quem assumirá esse encargo é tão relevante para o ordenamento que a LGPD estabelece a obrigatoriedade de divulgação ostensiva da identidade e das informações de contato do encarregado, preferencialmente no site da controladora11

Responsabilidade dos agentes de tratamento e do encarregado:

Em que pese muito esteja sendo falado sobre as responsabilidades relativas à função de Encarregado, é preciso informar que a redação da Lei Geral de Proteção de Dados não corrobora esse enfoque. Segundo a lei, a responsabilidade por eventuais imprecisões ou vazamentos de dados pessoais (sensíveis ou não) será imputada, primordialmente, ao Controlador e ao Operador, devendo responder por quaisquer danos patrimoniais, morais, individuais ou coletivos, decorrentes de violação à LGPD12.

Haverá responsabilidade solidária entre eles quando o operador tiver descumprido as obrigações da LGPD ou as instruções lícitas do controlador. Quando isso ocorrer, o operador será equiparado ao controlador, respondendo pelos danos causados por sua conduta indevida13

Considerando que as sanções podem atingir valores de altíssimo vulto (até R$ 50 milhões14), é essencial destacar, também, as hipóteses em que os agentes de tratamento conseguirão se eximir de eventuais responsabilizações. Para tanto, terão de comprovar que: a) não realizaram o tratamento de quaisquer dados daquela pessoa; b) realizaram o tratamento de dados daquela pessoa, mas que este foi realizado em plena conformidade com a LGPD; ou c) o dano alegado decorre de culpa exclusiva do próprio titular dos dados ou de um terceiro. Nota-se um ponto em comum a todas as excludentes: o rompimento do nexo causal15 entre a conduta do agente e o dano sofrido pelo titular dos danos, destacando ser o nexo causal um dos requisitos indispensáveis da responsabilidade civil.

Quanto ao Encarregado, considerando que não há previsão legal de imputação de responsabilidade contra si e que age em observância a ordens expedidas pelo Controlador que o indicou, tem prevalecido o entendimento doutrinário de que, ainda que haja um incidente, a responsabilidade ficará restrita ao Controlador ou ao Operador, conforme defende Gisele Kauer: “A responsabilidade, em caso de incidente, é do controlador ou operador (a depender do caso concreto); mas jamais do DPO/encarregado.”16

No mesmo sentido, Rodrigo Dias de Pinho Gomes, ao destacar a sua função meramente consultiva, “não cabendo ao encarregado adotar nenhuma medida junto a qualquer operação de tratamento de dados. Cabe ao controlador adotar, ou não, as orientações do encarregado, ciente dos riscos.”17  Apesar disso, o autor afirma não ser possível admitir total irresponsabilidade do encarregado; desse modo, em casos excepcionais, em que reste evidenciado que o Encarregado agiu de modo doloso, deliberadamente induzindo o Controlador a adotar uma postura ilícita, poderia ser responsabilizado pela prática dolosa.

Conclusões:

A publicação de hoje teve a finalidade de explicar, de modo bastante breve, quem são o Controlador, o Operador e o Encarregado, no âmbito da Lei Geral de Proteção de Dados, bem como as funções e responsabilidades decorrentes das atribuições a eles impostas pela legislação. Trata-se de providência crucial, haja vista que a delimitação de tais tópicos norteará sobremaneira o processo de adaptação das sociedades empresárias às diretrizes da LGPD. 

Empresas e profissionais terão de se amoldar a essa nova realidade, cientes dos riscos e da extrema importância da mudança de cultura empresarial: constante vigilância e zelo com os dados pessoais de clientes e fornecedores, cujo tratamento sempre deverá ser norteado pela regra do legítimo interesse e da preservação da higidez e conservação das informações mantidas. 

 

1Lei Geral de Proteção de Dados. Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

2Autoridade Nacional de Proteção de Dados (ANPD). Trata-se de órgão “subordinado à Presidência da República e tem a função de fiscalizar e editar normas sobre o tratamento de dados pessoais por pessoas físicas e jurídicas.” (GOVERNO aprova estrutura da Autoridade Nacional de Proteção de Dados. Agência Brasil, 2020. Disponível em: https://agenciabrasil.ebc.com.br/geral/noticia/2020-08/governo-aprova-estrutura-da-autoridade-nacional-de-protecao-de-dados. Acesso em: 25 set. 2020)

3“O termo de uso e política de privacidade de um site ou app é um documento dizendo aos usuários, visitantes e consumidores quais os dados estão sendo coletados e o que será feito com esses dados.” (POLÍTICA de privacidade: O que é e Porque é tão Importante para Seu Site. Parceiro Legal, 2017. Disponível em: https://parceirolegal.fcmlaw.com.br/politica-de-privacidade/politica-de-privacidade/. Acesso em: 25 set. 2020)

4Lei Geral de Proteção de Dados. Art. 5º Para os fins desta Lei, considera-se: [...] XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

5Lei Geral de Proteção de Dados. Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

6KAUER, Gisele. Controlador, operador e encarregado: Quem é quem na LGPD. Infra News Telecom. Disponível em: https://infranewstelecom.com.br/controlador-operador-encarregado-quem-e-quem-na-lgpd/. Acesso em: 25 set. 2020.

7VENTURA, Ivan. LGPD: Eu sou um operador ou um controlador de dados? Consumidor Moderno, 2019. Disponível em: https://www.consumidormoderno.com.br/2019/02/18/lgpd-operador-controlador-dados/. Acesso em: 25 set. 2020.

8Lei Geral de Proteção de Dados. Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

9“A nomeação de um encarregado será obrigatória para as pessoas naturais, empresas (art. 41) e pelo Poder Público (art. 23, III) que realizam tratamento de dados pessoais [...]” (GOMES, Rodrigo Dias de Pinho. Considerações sobre a figura do encarregado pelo tratamento de dados pessoais na Lei Geral de Proteção de Dado. Escola Superior da Advocacia – OAB/RJ. Disponível em: http://esa.oabrj.org.br/consideracoes-sobre-figura-do-encarregado-pelo-tratamento-de-dados-pessoais-na-lei-geral-de-protecao-de-dados/. Acesso em: 25 set. 2020).

10(GOMES, Rodrigo Dias de Pinho. Considerações sobre a figura do encarregado pelo tratamento de dados pessoais na Lei Geral de Proteção de Dado. Escola Superior da Advocacia – OAB/RJ. Disponível em: http://esa.oabrj.org.br/consideracoes-sobre-figura-do-encarregado-pelo-tratamento-de-dados-pessoais-na-lei-geral-de-protecao-de-dados/. Acesso em: 25 set. 2020).

11Lei Geral de Proteção de Dados. Art. 41. [...] § 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

12Lei Geral de Proteção de Dados. Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

13Lei Geral de Proteção de Dados. Art. 42. [...] § 1º A fim de assegurar a efetiva indenização ao titular dos dados: I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

14Lei Geral de Proteção de Dados. Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: [...] II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

15“O nexo de causalidade ou nexo causal constitui o elemento imaterial ou virtual da responsabilidade civil, constituindo a relação de causa e efeito entre a conduta culposa ou o risco criado e o dano suportado por alguém.” (TARTUCE, Flávio. Direito civil, v. 2: direito das obrigações e responsabilidade civil. 12. ed. rev., atual. e ampl. – Rio de Janeiro: Forense, 2017. p. 447)

16KAUER, Gisele. Controlador, operador e encarregado: Quem é quem na LGPD. Infra News Telecom. Disponível em: https://infranewstelecom.com.br/controlador-operador-encarregado-quem-e-quem-na-lgpd/. Acesso em: 25 set. 2020.

17GOMES, Rodrigo Dias de Pinho. Considerações sobre a figura do encarregado pelo tratamento de dados pessoais na Lei Geral de Proteção de Dado. Escola Superior da Advocacia – OAB/RJ. Disponível em: http://esa.oabrj.org.br/consideracoes-sobre-figura-do-encarregado-pelo-tratamento-de-dados-pessoais-na-lei-geral-de-protecao-de-dados/. Acesso em: 25 set. 2020.