CONTROLADORES E OPERADORES NA LGPD

10 de maio de 2021

O artigo 5º da Lei Geral de Proteção de Dados (LGPD) apresenta um rol de definições dos termos e agentes previstos no ordenamento. Em especial, os incisos VI e VII são claros ao prescreverem:

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Assim, a primeira vista, parece que as relações entre estes dois “agentes de tratamento” (denominação expressa nos artigos 37 a 40 da LGPD) são e estão claramente delineadas, o que facilitaria a identificação prática. Doce ilusão!

Nesta intensa vivência auxiliando nossos clientes nos projetos de adequação a LGPD, não foram poucas as vezes que nos deparamos com situações nebulosas nas quais as partes podem, simultaneamente, figurar como controlador e operador.

Para melhor compreensão, vamos analisar o seguinte cenário:

A diretoria da empresa “A” decide conceder a seus empregados convênio médico. Para tanto, celebra contrato com a empresa de assistência médica “Plano B”. Pelo contrato, a empresa “Plano B” fornecerá assistência médica hospitalar, diretamente, a todos os funcionários da empresa “A”.

Assim, para perfeita execução do contrato, a empresa “Plano B” terá acesso a todos os dados pessoais, inclusive sensíveis, dos funcionários da empresa “A”.

Até aqui nenhuma dúvida. A empresa “A” é a controladora dos dados de seus funcionários e a empresa “Plano B” operadora.

Mas essa relação é perpétua e imutável? A empresa “A”, sempre será a controladora dos dados operados pela empresa “Plano B”?

Note que os funcionários da empresa “A”, embora não tenham contratado ou sequer interagido com a empresa “Plano B”, receberão carteiras de identificação em nome próprio, que lhe garantirão o acesso aos serviços da “Plano B”, como se contratantes fossem.

Assim, imaginemos a seguinte situação: funcionário da empresa “A”, beneficiário do contrato aqui analisado, após ser acometido por séria doença, realiza tratamento médico na empresa “Plano B”. Pouco tempo depois constata que seus dados pessoais, bem como todas as informações relativas ao tratamento médico recentemente realizado, foram expostos na internet após incidente, com grande repercussão, de vazamento de dados pessoais ocorrido na empresa “Plano B”.

Importante ressaltar que a empregadora empresa “A” nunca teve acesso aos relatórios médicos dos seus funcionários e sequer tinha conhecimento da doença contraída pelo empregado em questão.

E agora? A empresa “A” continua sendo controladora dos dados enviados e utilizados pela empresa “Plano B” para execução do contrato de fornecimento de convênio médico a seus funcionários?

No incidente narrado a empresa “A” deve permanecer como controladora dos dados?

Ao nosso ver, não!

Isso porque, embora tenha realizado o compartilhamento dos dados, ao recebê-los a empresa “Plano B” passa ter total gerência e controle das informações, passando a utilizá-los para a prestação de serviços exclusivos e diretos aos beneficiários final.

A empresa “A”, embora seja a contratante inicial, não tem acesso, muito menos controle, sobre as ações e procedimentos realizados pelos usuários perante a empresa por ela contratada.

Aliás, a utilização dos serviços pelos funcionários, por si só, já faz com que a quantidade de dados pessoais armazenados pela empresa contratada seja maior do que o inicialmente compartilhado pela empresa contratante para a execução do contrato.

Por este ângulo não se mostra razoavelmente aceitável que a empresa “A” seja apontada como controladora num incidente de vazamento de dados pessoais que sequer teve acesso.

Deste modo acreditamos que a definição de controlador e operador deve ser analisada fluxo a fluxo, em outras palavras, não se pode determinar quem é quem na relação contratual analisando apenas o cenário macro.

Portanto, o correto e profundo mapeamento dos fluxos de dados pessoais se torna cada vez mais urgente e primordial, não somente para a elaboração dos relatórios previstos em lei, mas também para a adequada definição das partes e suas responsabilidades nas diversas circunstâncias que podem vir a ocorrer durante a vigência do contrato.

Caso tenha dúvidas quanto a posição da sua empresa no tratamento de dados pessoais entre em contato com nossos advogados especialistas em Direito Digital e Lei Geral de Proteção de Dados, pelo site www.assisemendes.com.br.

BIANCA PINHEIRO é advogada na área de Direito Digital e Proteção de Dados no Assis e Mendes Advogados. Especialista em Direito Público e Lei Geral de Proteção de Dados. Pós-graduanda em Governança de Tecnologia da Informação pela Unicamp. Certificações: DPO (Data Protection Officer) – LGPD pela Assespro/RS; PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy and Data Protection Foundation) – EXIN.

Compartilhe:

Mais Artigos

Desafios da Inadimplência: Estratégias e Alternativas à Judicialização

Descubra estratégias eficazes para lidar com a inadimplência de clientes sem recorrer imediatamente à judicialização. Este artigo explora alternativas viáveis, como o diálogo proativo, negociação amigável, formalização da cobrança e opções de resolução extrajudicial, visando preservar o relacionamento comercial e minimizar os impactos financeiros para sua empresa.

O que fazer se uma réplica do meu produto estiver sendo vendida em Marketplaces?

Marketplaces se tornaram essenciais no comércio online, mas também apresentam desafios, como a venda de produtos falsificados. Este artigo fornece orientações para lidar com réplicas ou falsificações de produtos em marketplaces, incluindo como identificar, denunciar e tomar medidas legais contra os infratores. Consultar um advogado e utilizar plataformas de proteção de marca são passos essenciais para proteger a reputação da marca e a integridade do mercado.

Uso da inteligência artificial e os impactos nas eleições de 2024. Você, candidato, está preparado?

O Tribunal Superior Eleitoral (TSE) aprovou novas regras para as eleições de 2024, incluindo regulamentações sobre o uso de Inteligência Artificial (IA). Candidatos devem estar preparados para usar a IA de maneira eficiente, seguindo as regras estabelecidas. A IA tem sido uma tendência global há décadas e sua regulamentação visa garantir a integridade do processo eleitoral, especialmente diante da disseminação de desinformação. O TSE proíbe o uso de chatbots para simular conversas com candidatos, deepfakes e exige que conteúdos gerados por IA sejam rotulados. As plataformas de mídia social também estão sujeitas a novas regras para promover transparência e combater a desinformação.

Quais as principais cláusulas em um Contrato de Licenciamento de Software?

Os contratos de licenciamento de software estabelecem as responsabilidades entre as partes envolvidas na utilização de um software, incluindo o direito de uso e serviços adicionais como suporte técnico e atualizações. Este artigo explora cláusulas essenciais desses contratos, como objeto, propriedade intelectual, suporte técnico, nível de disponibilidade, limitação de responsabilidade e isenção em casos de ataques hackers. Essas cláusulas são fundamentais para garantir uma negociação transparente, resolver disputas e proteger os interesses das partes envolvidas.

Vesting vs. Stock Option: Definições e Diferenças que você precisa conhecer

Descubra as definições e diferenças cruciais entre Vesting e Stock Option no contexto empresarial e de tecnologia. Este artigo explora os requisitos, aplicabilidade e implicações legais de cada método de incentivo de remuneração, ajudando você a decidir o melhor para sua empresa

Contratação de Software e Serviços em Nuvem para Órgãos Públicos: O que mudou e como se preparar

Uma nova portaria estabelece um modelo obrigatório de contratação de software e serviços em nuvem para órgãos do Poder Executivo Federal, visando garantir segurança da informação e proteção de dados. A partir de abril de 2024, os órgãos públicos deverão adotar esse modelo, que inclui critérios de avaliação, formas de remuneração e níveis de serviço. Fabricantes de tecnologia devem atender a requisitos como segurança de dados, flexibilidade de pagamento e indicadores de serviço.

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.