O artigo 5º da Lei Geral de Proteção de Dados (LGPD) apresenta um rol de definições dos termos e agentes previstos no ordenamento. Em especial, os incisos VI e VII são claros ao prescreverem:
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Assim, a primeira vista, parece que as relações entre estes dois “agentes de tratamento” (denominação expressa nos artigos 37 a 40 da LGPD) são e estão claramente delineadas, o que facilitaria a identificação prática. Doce ilusão!
Nesta intensa vivência auxiliando nossos clientes nos projetos de adequação a LGPD, não foram poucas as vezes que nos deparamos com situações nebulosas nas quais as partes podem, simultaneamente, figurar como controlador e operador.
Para melhor compreensão, vamos analisar o seguinte cenário:
A diretoria da empresa “A” decide conceder a seus empregados convênio médico. Para tanto, celebra contrato com a empresa de assistência médica “Plano B”. Pelo contrato, a empresa “Plano B” fornecerá assistência médica hospitalar, diretamente, a todos os funcionários da empresa “A”.
Assim, para perfeita execução do contrato, a empresa “Plano B” terá acesso a todos os dados pessoais, inclusive sensíveis, dos funcionários da empresa “A”.
Até aqui nenhuma dúvida. A empresa “A” é a controladora dos dados de seus funcionários e a empresa “Plano B” operadora.
Mas essa relação é perpétua e imutável? A empresa “A”, sempre será a controladora dos dados operados pela empresa “Plano B”?
Note que os funcionários da empresa “A”, embora não tenham contratado ou sequer interagido com a empresa “Plano B”, receberão carteiras de identificação em nome próprio, que lhe garantirão o acesso aos serviços da “Plano B”, como se contratantes fossem.
Assim, imaginemos a seguinte situação: funcionário da empresa “A”, beneficiário do contrato aqui analisado, após ser acometido por séria doença, realiza tratamento médico na empresa “Plano B”. Pouco tempo depois constata que seus dados pessoais, bem como todas as informações relativas ao tratamento médico recentemente realizado, foram expostos na internet após incidente, com grande repercussão, de vazamento de dados pessoais ocorrido na empresa “Plano B”.
Importante ressaltar que a empregadora empresa “A” nunca teve acesso aos relatórios médicos dos seus funcionários e sequer tinha conhecimento da doença contraída pelo empregado em questão.
E agora? A empresa “A” continua sendo controladora dos dados enviados e utilizados pela empresa “Plano B” para execução do contrato de fornecimento de convênio médico a seus funcionários?
No incidente narrado a empresa “A” deve permanecer como controladora dos dados?
Ao nosso ver, não!
Isso porque, embora tenha realizado o compartilhamento dos dados, ao recebê-los a empresa “Plano B” passa ter total gerência e controle das informações, passando a utilizá-los para a prestação de serviços exclusivos e diretos aos beneficiários final.
A empresa “A”, embora seja a contratante inicial, não tem acesso, muito menos controle, sobre as ações e procedimentos realizados pelos usuários perante a empresa por ela contratada.
Aliás, a utilização dos serviços pelos funcionários, por si só, já faz com que a quantidade de dados pessoais armazenados pela empresa contratada seja maior do que o inicialmente compartilhado pela empresa contratante para a execução do contrato.
Por este ângulo não se mostra razoavelmente aceitável que a empresa “A” seja apontada como controladora num incidente de vazamento de dados pessoais que sequer teve acesso.
Deste modo acreditamos que a definição de controlador e operador deve ser analisada fluxo a fluxo, em outras palavras, não se pode determinar quem é quem na relação contratual analisando apenas o cenário macro.
Portanto, o correto e profundo mapeamento dos fluxos de dados pessoais se torna cada vez mais urgente e primordial, não somente para a elaboração dos relatórios previstos em lei, mas também para a adequada definição das partes e suas responsabilidades nas diversas circunstâncias que podem vir a ocorrer durante a vigência do contrato.
Caso tenha dúvidas quanto a posição da sua empresa no tratamento de dados pessoais entre em contato com nossos advogados especialistas em Direito Digital e Lei Geral de Proteção de Dados, pelo site www.assisemendes.com.br.
BIANCA PINHEIRO é advogada na área de Direito Digital e Proteção de Dados no Assis e Mendes Advogados. Especialista em Direito Público e Lei Geral de Proteção de Dados. Pós-graduanda em Governança de Tecnologia da Informação pela Unicamp. Certificações: DPO (Data Protection Officer) – LGPD pela Assespro/RS; PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy and Data Protection Foundation) – EXIN.