A Lei Geral de Proteção de Dados (LGPD), com o objetivo de estabelecer direitos e obrigações bem definidas, criou os denominados “agentes de tratamento de dados”: o operador e o controlador, que possuem atribuições legais distintas.
De acordo com o art. 5°, VI, da LGPD, o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.”
Justamente pela responsabilidade na tomada de decisões em relação ao tratamento de dados pessoais, é sobre o controlador que recai o maior peso jurídico instituído pela nova legislação. Cabe a ele seguir todas as obrigações impostas pela Lei e, ainda, instruir corretamente o operador a seguir os mesmos requisitos.
Via de consequência, o controlador responde pelos danos patrimoniais, morais, individuais e coletivos decorrentes de eventuais violações a direitos protegidos pela LGPD.
Por outro lado, a Lei esclarece, no inciso VII do mesmo art. 5º, que o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome controlador”. Assim, ele não poderá realizar o tratamento de dados pessoais senão em virtude das determinações do controlador ou de previsão legal.
De forma bastante objetiva, a diferença entre o controlador e operador está no poder de decisão. O operador pode realizar o tratamento dos dados, mas isso ocorre a partir das ordens de um controlador, que, por sua vez, é tido como o “dono” ou responsável por essas informações. É ele quem está no topo da cadeia de tratamento de dados.
Para a melhor compreensão dos papeis desenvolvidos por controlador e operador, imagine uma empresa que coleta dados de seus clientes. Ao receber esses dados, a empresa se coloca na posição de controladora e fica responsável pela tomada de toda e qualquer decisão em relação aos dados coletados, bem como por acompanhar o seu ciclo de vida completo.
Por sua vez, os funcionários da empresa que efetivamente tratam os dados coletados ou até mesmo os fornecedores, contadores, escritórios de advocacia e outras empresas que prestam serviços ao controlador e acabam tendo acesso a esses dados figuram na posição de operadores.
E na hipótese de vazamento, perda ou uso ilícito de dados? De quem é a responsabilidade pelos danos causados aos titulares desses dados?
De acordo com o art. 42, §1º, I, da LGPD, o operador que descumprir as obrigações da legislação de proteção de dados ou não seguir as instruções lícitas do controlador responde solidariamente com ele por eventuais danos causados.
Há apenas 3 (três) hipóteses em que os agentes de tratamento não são responsabilizados: quando provarem que (i) não realizaram o tratamento de dados pessoais que lhes foi atribuído; (ii) embora tenham realizado o tratamento dos dados, não violaram a legislação protetiva; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
No ponto, gostaríamos de chamar especial atenção para a excludente de responsabilidade decorrente de “culpa exclusiva de terceiro”.
Em uma sociedade mundialmente conectada, é absolutamente natural que empresas repassem dados de seus clientes para outros prestadores de serviço, por força da especialização de determinadas atividades. Nesses casos, como os controladores podem se resguardar diante de eventuais vazamentos de dados causados por esses operadores?
Para que essas empresas não sejam responsabilizadas e tenham como alegar “culpa exclusiva de terceiro”, devem se certificar de que seus operadores, assim como elas, estão adequados à nova legislação.
Ou seja, não basta que apenas os controladores estejam em conformidade com a nova Lei. Para que tenham total segurança, devem revisitar todos os contratos firmados com seus operadores, estabelecer claras diretrizes a serem seguidas e se certificar de que eles também adotaram políticas de adequação à LGPD.
Caso contrário, na hipótese de mau uso de dados por esses operadores, essas empresas não poderão comprovar ausência de culpa em relação ao evento danoso.