CONTROLADORES E OPERADORES NA LGPD

10 de maio de 2021

O artigo 5º da Lei Geral de Proteção de Dados (LGPD) apresenta um rol de definições dos termos e agentes previstos no ordenamento. Em especial, os incisos VI e VII são claros ao prescreverem:

 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; 

 

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

 

Assim, a primeira vista, parece que as relações entre estes dois “agentes de tratamento” (denominação expressa nos artigos 37 a 40 da LGPD) são e estão claramente delineadas, o que facilitaria a identificação prática. Doce ilusão!

 

Nesta intensa vivência auxiliando nossos clientes nos projetos de adequação a LGPD, não foram poucas as vezes que nos deparamos com situações nebulosas nas quais as partes podem, simultaneamente, figurar como controlador e operador. 

 

Para melhor compreensão, vamos analisar o seguinte cenário:

 

A diretoria da empresa “A” decide conceder a seus empregados convênio médico. Para tanto, celebra contrato com a empresa de assistência médica “Plano B”. Pelo contrato, a empresa “Plano B” fornecerá assistência médica hospitalar, diretamente, a todos os funcionários da empresa “A”.

 

Assim, para perfeita execução do contrato, a empresa “Plano B” terá acesso a todos os dados pessoais, inclusive sensíveis, dos funcionários da empresa “A”.

 

Até aqui nenhuma dúvida. A empresa “A” é a controladora dos dados de seus funcionários e a empresa “Plano B” operadora. 

 

Mas essa relação é perpétua e imutável? A empresa “A”, sempre será a controladora dos dados operados pela empresa “Plano B”? 

 

Note que os funcionários da empresa “A”, embora não tenham contratado ou sequer interagido com a empresa “Plano B”, receberão carteiras de identificação em nome próprio, que lhe garantirão o acesso aos serviços da “Plano B”, como se contratantes fossem.

 

Assim, imaginemos a seguinte situação: funcionário da empresa “A”, beneficiário do contrato aqui analisado, após ser acometido por séria doença, realiza tratamento médico na empresa “Plano B”. Pouco tempo depois constata que seus dados pessoais, bem como todas as informações relativas ao tratamento médico recentemente realizado, foram expostos na internet após incidente, com grande repercussão, de vazamento de dados pessoais ocorrido na  empresa “Plano B”. 

 

Importante ressaltar que a empregadora empresa “A” nunca teve acesso aos relatórios médicos dos seus funcionários e sequer tinha conhecimento da doença contraída pelo empregado em questão.

 

E agora? A empresa “A” continua sendo controladora dos dados enviados e utilizados pela empresa “Plano B” para execução do contrato de fornecimento de convênio médico a seus funcionários?

 

No incidente narrado a empresa “A” deve permanecer como controladora dos dados?

 

Ao nosso ver, não! 

 

Isso porque, embora tenha realizado o compartilhamento dos dados, ao recebê-los a empresa “Plano B” passa ter total gerência e controle das informações, passando a utilizá-los para a prestação de serviços exclusivos e diretos aos beneficiários final.

 

A empresa “A”, embora seja a contratante inicial, não tem acesso, muito menos controle, sobre as ações e procedimentos realizados pelos usuários perante a empresa por ela contratada. 

 

Aliás, a utilização dos serviços pelos funcionários, por si só, já faz com que a quantidade de dados pessoais armazenados pela empresa contratada seja maior do que o inicialmente compartilhado pela empresa contratante para a execução do contrato.

 

Por este ângulo não se mostra razoavelmente aceitável que a empresa “A” seja apontada como controladora num incidente de vazamento de dados pessoais que sequer teve acesso.

 

Deste modo acreditamos que a definição de controlador e operador deve ser analisada fluxo a fluxo, em outras palavras, não se pode determinar quem é quem na relação contratual analisando apenas o cenário macro. 

 

Portanto, o correto e profundo mapeamento dos fluxos de dados pessoais se torna cada vez mais urgente e primordial, não somente para a elaboração dos relatórios previstos em lei, mas também para a adequada definição das partes e suas responsabilidades nas diversas circunstâncias que podem vir a ocorrer durante a vigência do contrato.

 

Caso tenha dúvidas quanto a posição da sua empresa no tratamento de dados pessoais entre em contato com nossos advogados especialistas em Direito Digital e Lei Geral de Proteção de Dados, pelo site www.assisemendes.com.br.

 

BIANCA PINHEIRO é advogada na área de Direito Digital e Proteção de Dados no Assis e Mendes Advogados. Especialista em Direito Público e Lei Geral de Proteção de Dados. Pós-graduanda em Governança de Tecnologia da Informação pela Unicamp. Certificações: DPO (Data Protection Officer) – LGPD pela Assespro/RS; PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy and Data Protection Foundation) – EXIN.

 

Compartilhe:

Mais Artigos

Informativo sobre distribuição de ação e acompanhamento processual

Resumo para consulta processual no TJSP

MITIGANDO RISCOS CONTRATUAIS: O PAPEL DA CLÁUSULA DE LIMITAÇÃO DE RESPONSABILIDADE

Nas relações contratuais, os riscos derivados da transação são uma ameaça constante, podendo comprometer a estabilidade de um negócio. Diante desse desafio, as empresas buscam estratégias para mitigar esses riscos, …

Guia orientativo: Hipóteses legais de tratamento de dados pessoais com base no legítimo interesse – Você sabe como usar essa base legal dentro da sua organização?

No dia 02/02/2024 a ANPD publicou o seu mais novo guia orientativo denominado “Hipóteses legais de tratamento de dados pessoais – legítimo interesse”, com o objetivo de esclarecer pontos relevantes …

RESPONSABILIDADE LEGAL NAS MÍDIAS SOCIAIS E MARKETING DIGITAL: DIRETRIZES PARA EVITAR QUESTÕES LEGAIS E LITÍGIOS

Nos últimos anos, o crescimento das mídias sociais e do marketing digital transformou o cenário da publicidade, tanto a nível nacional, quanto a nível mundial, oferecendo oportunidades para marcas e …

Maximizando a Proteção Patrimonial: O Papel Estratégico da Holding no Planejamento Sucessório

Quando nos aproximamos da fase da vida em que começamos a refletir sobre a transferência de nosso patrimônio para as próximas gerações, a preocupação com a segurança e a integridade …

O uso do Scraping e Web Crawler pode prejudicar a mim ou minha empresa?

O uso incorreto das ferramentas de raspagem da web pode trazer consequências desastrosas para sua empresa. Entenda como utilizá-las

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.