CONTROLADORES E OPERADORES NA LGPD

10 de maio de 2021

O artigo 5º da Lei Geral de Proteção de Dados (LGPD) apresenta um rol de definições dos termos e agentes previstos no ordenamento. Em especial, os incisos VI e VII são claros ao prescreverem:

 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; 

 

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

 

Assim, a primeira vista, parece que as relações entre estes dois “agentes de tratamento” (denominação expressa nos artigos 37 a 40 da LGPD) são e estão claramente delineadas, o que facilitaria a identificação prática. Doce ilusão!

 

Nesta intensa vivência auxiliando nossos clientes nos projetos de adequação a LGPD, não foram poucas as vezes que nos deparamos com situações nebulosas nas quais as partes podem, simultaneamente, figurar como controlador e operador. 

 

Para melhor compreensão, vamos analisar o seguinte cenário:

 

A diretoria da empresa “A” decide conceder a seus empregados convênio médico. Para tanto, celebra contrato com a empresa de assistência médica “Plano B”. Pelo contrato, a empresa “Plano B” fornecerá assistência médica hospitalar, diretamente, a todos os funcionários da empresa “A”.

 

Assim, para perfeita execução do contrato, a empresa “Plano B” terá acesso a todos os dados pessoais, inclusive sensíveis, dos funcionários da empresa “A”.

 

Até aqui nenhuma dúvida. A empresa “A” é a controladora dos dados de seus funcionários e a empresa “Plano B” operadora. 

 

Mas essa relação é perpétua e imutável? A empresa “A”, sempre será a controladora dos dados operados pela empresa “Plano B”? 

 

Note que os funcionários da empresa “A”, embora não tenham contratado ou sequer interagido com a empresa “Plano B”, receberão carteiras de identificação em nome próprio, que lhe garantirão o acesso aos serviços da “Plano B”, como se contratantes fossem.

 

Assim, imaginemos a seguinte situação: funcionário da empresa “A”, beneficiário do contrato aqui analisado, após ser acometido por séria doença, realiza tratamento médico na empresa “Plano B”. Pouco tempo depois constata que seus dados pessoais, bem como todas as informações relativas ao tratamento médico recentemente realizado, foram expostos na internet após incidente, com grande repercussão, de vazamento de dados pessoais ocorrido na  empresa “Plano B”. 

 

Importante ressaltar que a empregadora empresa “A” nunca teve acesso aos relatórios médicos dos seus funcionários e sequer tinha conhecimento da doença contraída pelo empregado em questão.

 

E agora? A empresa “A” continua sendo controladora dos dados enviados e utilizados pela empresa “Plano B” para execução do contrato de fornecimento de convênio médico a seus funcionários?

 

No incidente narrado a empresa “A” deve permanecer como controladora dos dados?

 

Ao nosso ver, não! 

 

Isso porque, embora tenha realizado o compartilhamento dos dados, ao recebê-los a empresa “Plano B” passa ter total gerência e controle das informações, passando a utilizá-los para a prestação de serviços exclusivos e diretos aos beneficiários final.

 

A empresa “A”, embora seja a contratante inicial, não tem acesso, muito menos controle, sobre as ações e procedimentos realizados pelos usuários perante a empresa por ela contratada. 

 

Aliás, a utilização dos serviços pelos funcionários, por si só, já faz com que a quantidade de dados pessoais armazenados pela empresa contratada seja maior do que o inicialmente compartilhado pela empresa contratante para a execução do contrato.

 

Por este ângulo não se mostra razoavelmente aceitável que a empresa “A” seja apontada como controladora num incidente de vazamento de dados pessoais que sequer teve acesso.

 

Deste modo acreditamos que a definição de controlador e operador deve ser analisada fluxo a fluxo, em outras palavras, não se pode determinar quem é quem na relação contratual analisando apenas o cenário macro. 

 

Portanto, o correto e profundo mapeamento dos fluxos de dados pessoais se torna cada vez mais urgente e primordial, não somente para a elaboração dos relatórios previstos em lei, mas também para a adequada definição das partes e suas responsabilidades nas diversas circunstâncias que podem vir a ocorrer durante a vigência do contrato.

 

Caso tenha dúvidas quanto a posição da sua empresa no tratamento de dados pessoais entre em contato com nossos advogados especialistas em Direito Digital e Lei Geral de Proteção de Dados, pelo site www.assisemendes.com.br.

 

BIANCA PINHEIRO é advogada na área de Direito Digital e Proteção de Dados no Assis e Mendes Advogados. Especialista em Direito Público e Lei Geral de Proteção de Dados. Pós-graduanda em Governança de Tecnologia da Informação pela Unicamp. Certificações: DPO (Data Protection Officer) – LGPD pela Assespro/RS; PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy and Data Protection Foundation) – EXIN.

 

Compartilhe:

Mais Artigos

Cobrança de tráfego de dados por provedores: o que diz o PL 469/2024 e como isso pode afetar sua empresa

Em maio de 2025, a Comissão de Ciência, Tecnologia e Inovação  realizou uma audiência pública para debater. O debate sobre a cobrança de tráfego de dados por provedores está avançando …

Novo decreto do SAC: o que muda para sua empresa em 2025

Empresas que oferecem atendimento ao consumidor — ou contratam serviços de SAC para lidar com seus clientes — precisam ficar atentas ao novo decreto do SAC, que está reformulando as …

Plano Nacional de Data Centers (Redata): O que muda para empresas que usam ou operam infraestrutura digital no Brasil

O ambiente digital brasileiro está passando por uma fase de transformação com o lançamento do Plano Nacional de Data Centers (Redata)  e a iminente publicação de uma Medida Provisória que …

STF reconhece a inconstitucionalidade parcial do artigo 19 do Marco Civil da Internet

O Supremo Tribunal Federal (STF) declarou a inconstitucionalidade parcial do artigo 19 do Marco Civil da Internet, em julgamento finalizado em 26/06/2029. O julgamento do Recurso Extraordinário (RE) 1037396 (Tema 987 …

Uso do dados.gov.br por empresas: oportunidades e riscos com a LGPD

O uso de dados.gov.br por empresas é uma tendência que cresce a cada dia. O portal do Governo Federal oferece dados públicos úteis, mas é preciso cuidado ao usá-los — …

Roblox na mira da justiça Americana por rastreamento oculto  de dados de crianças

O universo digital, especialmente o mercado de jogos online, tem enfrentado desafios jurídicos cada vez mais complexos, sobretudo quando envolve a proteção de dados de crianças e adolescentes. Recentemente, uma …

Entre em contato

Nossa equipe de advogados altamente qualificados está pronta para ajudar. Seja para questões de Direito Digital, Empresarial ou Proteção de Dados estamos aqui para orientá-lo e proteger seus direitos. Entre em contato conosco agora mesmo!

Inscreva-se para nossa NewsLetter

Assine nossa Newsletter gratuitamente. Integre nossa lista de e-mails.