Uma questão recorrente nos processos de implementação à Lei Geral de Proteção de Dados é a definição de quem é o controlador e quem é o operador dos dados pessoais. Muitas vezes, durante a negociação, uma das partes aponta contratualmente que ela deve ser a controladora dos dados, mas o que isso significa realmente?

A Lei Geral de Proteção de Dados trouxe o conceito de agentes de tratamento, o controlador e o operador. Basicamente, as definições de controlador e operador podem ser resumidas em poucas linhas: o controlador é aquele a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador é aquele que realiza o tratamento dos dados em nome do controlador.

Apesar da definição ser simples, a sua aplicação prática gera inúmeros desafios relacionados ao enquadramento das partes contratuais em uma ou outra classificação.

Importante, acima de tudo, é que os papéis de controlador e operador não estão relacionados necessariamente com as posições contratuais, de contratante e contratado e, desta mesma forma, não é recomendado que eles sejam tratados desta forma.

Os agentes de tratamento se definem pela relação que possuem com o titular dos dados e pela forma como o tratamento dos dados pessoais é realizado

Essa relação pode, inclusive, variar no curso da interação com o titular dos dados. Assim, devem ser considerados controladores aqueles que possuem autonomia e independência com relação a utilização dos dados pessoais, podendo decidir sobre a finalidade do tratamento dos dados, a categoria de dados a serem coletados, qual o período de retenção, dentre outras questões relacionadas diretamente com o tratamento dos dados. Já o operador realizará as atividades de tratamento de dados, sempre em nome do controlador.

Assim, é o caso das atividades de vendas online, na qual o portal que realiza a venda é o controlador dos dados, enquanto o serviço de transporte utilizado, nesta situação, atuará como operador, para atender a finalidade específica de entregar os produtos para o comprador.

Ambos possuem responsabilidades legais

Independentemente de ser controlador ou operador na relação de tratamento de dados pessoais, a Lei Geral de Proteção de Dados aponta responsabilidades para as duas partes, desde a necessidade de atender todos os princípios relacionados ao tratamento dos dados pessoais, até a necessidade de atender aos direitos dos titulares de dados e determinações da Autoridade Nacional de Proteção de Dados.

Em razão destas disposições e da necessidade de organizar a forma como o controlador e o operador atendem estes direitos, o estabelecimento de cláusulas contratuais é recomendável. Mesmo que a LGPD não traga expressamente esta necessidade.

Recomenda-se desta forma, definir contratualmente o objeto e duração do tratamento dos dados, a natureza e a finalidade do tratamento de dados, os tipos de dados pessoais envolvidos e os direitos e obrigações das partes relacionados ao cumprimento das disposições da Lei Geral de Proteção de Dados.

Com isso, busca-se um melhor relacionamento entre as partes com relação a proteção de dados pessoais.

***

Raphael Valentim, autor deste artigo, é associado no escritório Loeser, Blanchet e Hadad Advogados.