Controlador, operador e encarregado: Quem é quem na LGPD
Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra
Três importantes figuras foram introduzidas na legislação brasileira pela LGPD: o Controlador, Operador e Encarregado. A compreensão do papel de cada um, tal como as suas atribuições legais, é essencial para a compreensão da nossa nova legislação – e, sem dúvidas, para que possamos fazer um paralelo com a GDPR (ou RGPD – “Regulamento Geral sobre a Proteção de Dados”), que está em vigor há quase um ano na União Europeia.
Hoje, nossa proposta é apresentar cada uma dessas figuras e as suas peculiaridades para acabar de vez com qualquer dúvida. Então, vamos lá:
Controlador
É ele que MANDA. Nas palavras da própria lei, o controlador pode ser classificado como “pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais”. Seria a figura equivalente ao responsável GDPR, ou seja, a empresa que demanda o tratamento, podendo ela mesma realizá-lo ou contratar um operador (que veremos logo a seguir). A lei brasileira, no entanto, traz uma peculiaridade: o controlador pode sim, ser pessoa natural – na GDPR essa classificação é limitada a pessoa jurídica. De certa forma, é um viés interessante, já que inibe condutas criminosas como colocar “laranjas” desempenhando o papel de controlador; caso a pessoa física desrespeite a lei, haverá sanções também.
Cabe ao controlador, por óbvio, seguir o disposto na LGPD, devendo realizar o tratamento de acordo com os princípios ou orientar corretamente o operador, para que este realize um tratamento lícito. Um ponto interessante é a responsabilidade do controlador de elaborar o relatório de impacto (nas hipóteses aplicáveis).
Ele responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação (dever de reparação). Ainda, responde solidariamente pelos danos causados pelo operador, se diretamente envolvido no tratamento que resultar em danos.
Operador
Está apenas cumprindo ordens e os dispositivos legais, é claro. Caso o controlador deseje que um terceiro realize o tratamento dos dados, será preciso contratar um operador: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Esta figura seria o equivalente ao subcontratante da GDPR (é o processador dos dados pessoais).
O operador deve seguir as diretrizes trazidas pelo controlador e tratar os dados de acordo com as políticas de privacidade referentes e ao ordenamento jurídico.
Ele ainda responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação (dever de reparação) – assim como o controlador. Responde solidariamente caso descumpra a legislação (equiparando-se ao controlador, caso não houver seguido as instruções deste).
Encarregado
Por último, mas não menos importante, temos a figura do encarregado: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”. Equipara-se à figura do já conhecido DPO, da GDPR, e tem como responsabilidade legal estabelecer comunicação com os titulares e autoridade nacional, esclarecimentos, providências, orientações internas. Na redação original da lei brasileira, havia a exigência de que o encarregado fosse pessoa física; mas a redação foi alterada com a MP 869/2018.
Na LGPD, pelo menos por enquanto, o encarregado deve ser indicado pelo controlador, não havendo previsão expressa de indicação por parte do operador.
Ainda que o encarregado seja uma figura que ganhou lugar nos holofotes em ambas legislações, é importante lembrar: em momento algum há previsão sobre esta figura responder legalmente – entende-se, portanto, que cabe ao controlador a sua fiscalização, que pode ser seu funcionário ou prestador de serviços por meio contratual, pois, a quem interessa se o encarregado está desenvolvendo as suas atividades adequadamente é a própria empresa que o contratou. A responsabilidade, em caso de incidente, é do controlador ou operador (a depender do caso concreto); mas jamais do DPO/encarregado.
Advogada em proteção de dados/senior data protection analyst no Banco Safra. Graduada em Direito pela Faculdade de Direito de São Bernardo do Campo (FDSBC) e certificada em Financial Markets pela Yale University. Palestrante convidada na EACH-USP e na FDSBC. ISO/IEC 27001 (Information Security) certified. Coautora do capítulo “Regulation of Personal Data Processing” na International Encyclopaedia of Laws (IEL) for Cyber Law. Professora na Associação Brasileira de Propriedade Intelectual (ABPI) e na Privacy Academy.
