CONTROLADORES E OPERADORES NA LGPD

O arti­go 5º da Lei Ger­al de Pro­teção de Dados (LGPD) apre­sen­ta um rol de definições dos ter­mos e agentes pre­vis­tos no orde­na­men­to. Em espe­cial, os incisos VI e VII são claros ao prescreverem:

Con­tro­lador: pes­soa nat­ur­al ou jurídi­ca, de dire­ito públi­co ou pri­va­do, a quem com­petem as decisões ref­er­entes ao trata­men­to de dados pessoais; 

Oper­ador: pes­soa nat­ur­al ou jurídi­ca, de dire­ito públi­co ou pri­va­do, que real­iza o trata­men­to de dados pes­soais em nome do controlador;

Assim, a primeira vista, parece que as relações entre estes dois “agentes de trata­men­to” (denom­i­nação expres­sa nos arti­gos 37 a 40 da LGPD) são e estão clara­mente delin­eadas, o que facil­i­taria a iden­ti­fi­cação práti­ca. Doce ilusão!

Nes­ta inten­sa vivên­cia aux­il­ian­do nos­sos clientes nos pro­je­tos de ade­quação a LGPD, não foram pou­cas as vezes que nos deparamos com situ­ações neb­u­losas nas quais as partes podem, simul­tane­a­mente, fig­u­rar como con­tro­lador e operador. 

Para mel­hor com­preen­são, vamos anal­is­ar o seguinte cenário:

A dire­to­ria da empre­sa “A” decide con­ced­er a seus empre­ga­dos con­vênio médi­co. Para tan­to, cel­e­bra con­tra­to com a empre­sa de assistên­cia médi­ca “Plano B”. Pelo con­tra­to, a empre­sa “Plano B” fornecerá assistên­cia médi­ca hos­pi­ta­lar, dire­ta­mente, a todos os fun­cionários da empre­sa “A”.

Assim, para per­fei­ta exe­cução do con­tra­to, a empre­sa “Plano B” terá aces­so a todos os dados pes­soais, inclu­sive sen­síveis, dos fun­cionários da empre­sa “A”.

Até aqui nen­hu­ma dúvi­da. A empre­sa “A” é a con­tro­lado­ra dos dados de seus fun­cionários e a empre­sa “Plano B” operadora. 

Mas essa relação é per­pé­tua e imutáv­el? A empre­sa “A”, sem­pre será a con­tro­lado­ra dos dados oper­a­dos pela empre­sa “Plano B”? 

Note que os fun­cionários da empre­sa “A”, emb­o­ra não ten­ham con­trata­do ou sequer inter­agi­do com a empre­sa “Plano B”, rece­berão carteiras de iden­ti­fi­cação em nome próprio, que lhe garan­tirão o aces­so aos serviços da “Plano B”, como se con­tratantes fossem.

Assim, imag­inemos a seguinte situ­ação: fun­cionário da empre­sa “A”, ben­efi­ciário do con­tra­to aqui anal­isa­do, após ser acometi­do por séria doença, real­iza trata­men­to médi­co na empre­sa “Plano B”. Pouco tem­po depois con­sta­ta que seus dados pes­soais, bem como todas as infor­mações rel­a­ti­vas ao trata­men­to médi­co recen­te­mente real­iza­do, foram expos­tos na inter­net após inci­dente, com grande reper­cussão, de vaza­men­to de dados pes­soais ocor­ri­do na  empre­sa “Plano B”. 

Impor­tante ressaltar que a empre­gado­ra empre­sa “A” nun­ca teve aces­so aos relatórios médi­cos dos seus fun­cionários e sequer tin­ha con­hec­i­men­to da doença con­traí­da pelo empre­ga­do em questão.

E ago­ra? A empre­sa “A” con­tin­ua sendo con­tro­lado­ra dos dados envi­a­dos e uti­liza­dos pela empre­sa “Plano B” para exe­cução do con­tra­to de fornec­i­men­to de con­vênio médi­co a seus funcionários?

No inci­dente nar­ra­do a empre­sa “A” deve per­manecer como con­tro­lado­ra dos dados?

Ao nos­so ver, não! 

Isso porque, emb­o­ra ten­ha real­iza­do o com­par­til­hamen­to dos dados, ao rece­bê-los a empre­sa “Plano B” pas­sa ter total gerên­cia e con­t­role das infor­mações, pas­san­do a uti­lizá-los para a prestação de serviços exclu­sivos e dire­tos aos ben­efi­ciários final.

A empre­sa “A”, emb­o­ra seja a con­tratante ini­cial, não tem aces­so, muito menos con­t­role, sobre as ações e pro­ced­i­men­tos real­iza­dos pelos usuários per­ante a empre­sa por ela contratada. 

Aliás, a uti­liza­ção dos serviços pelos fun­cionários, por si só, já faz com que a quan­ti­dade de dados pes­soais armazena­dos pela empre­sa con­trata­da seja maior do que o ini­cial­mente com­par­til­ha­do pela empre­sa con­tratante para a exe­cução do contrato.

Por este ângu­lo não se mostra razoavel­mente aceitáv­el que a empre­sa “A” seja apon­ta­da como con­tro­lado­ra num inci­dente de vaza­men­to de dados pes­soais que sequer teve acesso.

Deste modo acred­i­ta­mos que a definição de con­tro­lador e oper­ador deve ser anal­isa­da fluxo a fluxo, em out­ras palavras, não se pode deter­mi­nar quem é quem na relação con­trat­u­al anal­isan­do ape­nas o cenário macro. 

Por­tan­to, o cor­re­to e pro­fun­do mapea­men­to dos flux­os de dados pes­soais se tor­na cada vez mais urgente e pri­mor­dial, não somente para a elab­o­ração dos relatórios pre­vis­tos em lei, mas tam­bém para a ade­qua­da definição das partes e suas respon­s­abil­i­dades nas diver­sas cir­cun­stân­cias que podem vir a ocor­rer durante a vigên­cia do contrato.

Caso ten­ha dúvi­das quan­to a posição da sua empre­sa no trata­men­to de dados pes­soais entre em con­ta­to com nos­sos advo­ga­dos espe­cial­is­tas em Dire­ito Dig­i­tal e Lei Ger­al de Pro­teção de Dados, pelo site www.assisemendes.com.br.

BIANCA PINHEIRO é advo­ga­da na área de Dire­ito Dig­i­tal e Pro­teção de Dados no Assis e Mendes Advo­ga­dos. Espe­cial­ista em Dire­ito Públi­co e Lei Ger­al de Pro­teção de Dados. Pós-grad­uan­da em Gov­er­nança de Tec­nolo­gia da Infor­mação pela Uni­camp. Cer­ti­fi­cações: DPO (Data Pro­tec­tion Offi­cer) – LGPD pela Assespro/RS; PDPE (Pri­va­cy and Data Pro­tec­tion Essen­tials) e PDPF (Pri­va­cy and Data Pro­tec­tion Foun­da­tion) – EXIN.