CONTROLADORES E OPERADORES NA LGPD

10 de maio de 2021

O artigo 5º da Lei Geral de Proteção de Dados (LGPD) apresenta um rol de definições dos termos e agentes previstos no ordenamento. Em especial, os incisos VI e VII são claros ao prescreverem:

 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; 

 

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

 

Assim, a primeira vista, parece que as relações entre estes dois “agentes de tratamento” (denominação expressa nos artigos 37 a 40 da LGPD) são e estão claramente delineadas, o que facilitaria a identificação prática. Doce ilusão!

 

Nesta intensa vivência auxiliando nossos clientes nos projetos de adequação a LGPD, não foram poucas as vezes que nos deparamos com situações nebulosas nas quais as partes podem, simultaneamente, figurar como controlador e operador. 

 

Para melhor compreensão, vamos analisar o seguinte cenário:

 

A diretoria da empresa “A” decide conceder a seus empregados convênio médico. Para tanto, celebra contrato com a empresa de assistência médica “Plano B”. Pelo contrato, a empresa “Plano B” fornecerá assistência médica hospitalar, diretamente, a todos os funcionários da empresa “A”.

 

Assim, para perfeita execução do contrato, a empresa “Plano B” terá acesso a todos os dados pessoais, inclusive sensíveis, dos funcionários da empresa “A”.

 

Até aqui nenhuma dúvida. A empresa “A” é a controladora dos dados de seus funcionários e a empresa “Plano B” operadora. 

 

Mas essa relação é perpétua e imutável? A empresa “A”, sempre será a controladora dos dados operados pela empresa “Plano B”? 

 

Note que os funcionários da empresa “A”, embora não tenham contratado ou sequer interagido com a empresa “Plano B”, receberão carteiras de identificação em nome próprio, que lhe garantirão o acesso aos serviços da “Plano B”, como se contratantes fossem.

 

Assim, imaginemos a seguinte situação: funcionário da empresa “A”, beneficiário do contrato aqui analisado, após ser acometido por séria doença, realiza tratamento médico na empresa “Plano B”. Pouco tempo depois constata que seus dados pessoais, bem como todas as informações relativas ao tratamento médico recentemente realizado, foram expostos na internet após incidente, com grande repercussão, de vazamento de dados pessoais ocorrido na  empresa “Plano B”. 

 

Importante ressaltar que a empregadora empresa “A” nunca teve acesso aos relatórios médicos dos seus funcionários e sequer tinha conhecimento da doença contraída pelo empregado em questão.

 

E agora? A empresa “A” continua sendo controladora dos dados enviados e utilizados pela empresa “Plano B” para execução do contrato de fornecimento de convênio médico a seus funcionários?

 

No incidente narrado a empresa “A” deve permanecer como controladora dos dados?

 

Ao nosso ver, não! 

 

Isso porque, embora tenha realizado o compartilhamento dos dados, ao recebê-los a empresa “Plano B” passa ter total gerência e controle das informações, passando a utilizá-los para a prestação de serviços exclusivos e diretos aos beneficiários final.

 

A empresa “A”, embora seja a contratante inicial, não tem acesso, muito menos controle, sobre as ações e procedimentos realizados pelos usuários perante a empresa por ela contratada. 

 

Aliás, a utilização dos serviços pelos funcionários, por si só, já faz com que a quantidade de dados pessoais armazenados pela empresa contratada seja maior do que o inicialmente compartilhado pela empresa contratante para a execução do contrato.

 

Por este ângulo não se mostra razoavelmente aceitável que a empresa “A” seja apontada como controladora num incidente de vazamento de dados pessoais que sequer teve acesso.

 

Deste modo acreditamos que a definição de controlador e operador deve ser analisada fluxo a fluxo, em outras palavras, não se pode determinar quem é quem na relação contratual analisando apenas o cenário macro. 

 

Portanto, o correto e profundo mapeamento dos fluxos de dados pessoais se torna cada vez mais urgente e primordial, não somente para a elaboração dos relatórios previstos em lei, mas também para a adequada definição das partes e suas responsabilidades nas diversas circunstâncias que podem vir a ocorrer durante a vigência do contrato.

 

Caso tenha dúvidas quanto a posição da sua empresa no tratamento de dados pessoais entre em contato com nossos advogados especialistas em Direito Digital e Lei Geral de Proteção de Dados, pelo site www.assisemendes.com.br.

 

BIANCA PINHEIRO é advogada na área de Direito Digital e Proteção de Dados no Assis e Mendes Advogados. Especialista em Direito Público e Lei Geral de Proteção de Dados. Pós-graduanda em Governança de Tecnologia da Informação pela Unicamp. Certificações: DPO (Data Protection Officer) – LGPD pela Assespro/RS; PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy and Data Protection Foundation) – EXIN.

 

Compartilhe:

Mais Artigos

Regulação das Big Techs no Brasil: impactos para empresas de tecnologia

Regulação Econômica das Big Techs: o que muda com o novo projeto de lei enviado à Câmara Introdução No último dia 17/09 o governo federal enviou à Câmara dos Deputados …

MP 1317/2025: ANPD vira Agência Nacional de Proteção de Dados | Impactos para empresas de tecnologia

MP 1317/2025: ANPD vira Agência Nacional de Proteção de Dados — impactos para empresas de tecnologia O que é a MP 1317/2025 e por que importa A Medida Provisória nº …

ECA Digital: impactos e adequação para empresas de tecnologia

ECA Digital: impactos e oportunidades para empresas de tecnologia O que é o ECA Digital O ECA Digital, criado pela Lei nº 15.211/2025, atualiza o Estatuto da Criança e do …

REDATA: entenda o novo regime tributário para datacenters no Brasil

Novo regime tributário para datacenters: entenda os benefícios da MP 1.318/2025 O setor de tecnologia brasileiro ganhou um novo marco regulatório: a Medida Provisória nº 1.318/2025 instituiu o Regime Especial …

Segurança digital no Judiciário: o que o setor privado pode aprender?

A crescente digitalização dos processos judiciais e administrativos no Brasil, exige um esforço contínuo em torno da segurança cibernética e da proteção de dados. O poder judiciário, consciente desse cenário, …

Vesting como obrigação condicional: segurança jurídica para sua empresa

O vesting como obrigação condicional é uma das formas mais eficientes de garantir que sócios e colaboradores alcancem seus direitos à medida que cumprem metas específicas e permanecem na empresa …

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.