Responsabilidade de Operadores e Controladores de Dados

A Lei Geral de Proteção de Dados estabelece papéis distintos para controladores e operadores, e compreender essas responsabilidades é essencial para evitar sanções milionárias e proteger os direitos dos titulares.

O que são controladores e operadores de dados na LGPD

Quando analisa-se a estrutura da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), percebemos que ela criou uma divisão clara entre dois agentes de tratamento: o controlador e o operador. Essa distinção não é meramente teórica. Ela define quem toma as decisões sobre o tratamento de dados pessoais e quem executa essas decisões, o que impacta diretamente o regime de responsabilidade civil e administrativa de cada um.

O controlador, conforme o artigo 5º, inciso VI, da LGPD, é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Em termos práticos, é a entidade que define a finalidade e os meios do tratamento. Uma empresa que coleta dados de seus clientes para fins de marketing, por exemplo, atua como controladora, pois é ela quem determina por que e como esses dados serão utilizados.

Já o operador, definido no inciso VII do mesmo artigo, é a pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Pensemos em uma empresa de tecnologia contratada para processar a folha de pagamento de outra organização: ela trata dados pessoais dos funcionários, mas o faz seguindo as instruções da contratante. Nesse cenário, a empresa de tecnologia é operadora e a contratante é controladora.

Essa relação nem sempre é simples de delimitar. Em muitas situações do dia a dia empresarial, uma mesma organização pode atuar simultaneamente como controladora de determinados dados e operadora de outros. Identificar corretamente esses papéis é o primeiro passo de qualquer processo de due diligence em proteção de dados, pois a responsabilidade jurídica decorre diretamente dessa classificação.

Responsabilidades específicas do controlador

O controlador carrega a maior parcela de responsabilidade no ecossistema da LGPD. É dele o dever de garantir que todo o ciclo de vida do dado pessoal esteja em conformidade com a legislação, desde a coleta até a eliminação. Verifica-se que a lei atribui ao controlador uma série de obrigações que não podem ser delegadas ao operador.

A correta identificação dos papéis de controlador e operador é o alicerce de qualquer programa de conformidade em proteção de dados, pois dela decorrem obrigações jurídicas distintas e intransferíveis.

Entre as principais obrigações do controlador, cabe destacar a necessidade de definir a base legal adequada para cada atividade de tratamento. O artigo 7º da LGPD elenca dez hipóteses que autorizam o tratamento de dados pessoais, e cabe ao controlador identificar qual delas se aplica a cada situação concreta. Utilizar a base legal equivocada pode invalidar todo o tratamento e gerar responsabilização.

O controlador também deve elaborar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando solicitado pela Autoridade Nacional de Proteção de Dados (ANPD). Esse documento descreve os processos de tratamento que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, além de apresentar as medidas e salvaguardas adotadas para mitigar esses riscos.

Dever de transparência e atendimento aos titulares

Um dos pilares da atuação do controlador é o dever de transparência. Ele deve informar ao titular, de forma clara e acessível, quais dados são coletados, para quais finalidades, por quanto tempo serão armazenados e com quem serão compartilhados. Essa informação geralmente se materializa na política de privacidade da organização, que precisa ser redigida em linguagem simples e estar facilmente acessível.

Além disso, o controlador é o responsável direto por atender às requisições dos titulares previstas no artigo 18 da LGPD. Isso inclui pedidos de acesso, correção, anonimização, portabilidade e eliminação de dados. O prazo para resposta é de 15 dias, conforme regulamentação da ANPD, e o descumprimento pode resultar em sanções administrativas.

Nomeação do encarregado de proteção de dados

Outra obrigação exclusiva do controlador é a nomeação do encarregado pelo tratamento de dados pessoais (DPO, na sigla em inglês). O encarregado atua como canal de comunicação entre o controlador, os titulares de dados e a ANPD. Sua identidade e informações de contato devem ser divulgadas publicamente, preferencialmente no site institucional da organização. A ANPD já regulamentou as hipóteses de dispensa dessa obrigação para agentes de tratamento de pequeno porte.

Responsabilidades específicas do operador

Embora o operador possua um papel de execução, isso não significa que suas responsabilidades sejam menores ou que ele esteja isento de obrigações legais. Analisa-se que a LGPD impõe ao operador o dever de tratar os dados pessoais estritamente conforme as instruções lícitas do controlador, não podendo utilizar os dados para finalidades próprias sem autorização expressa.

O operador deve adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Essas medidas devem ser proporcionais ao risco envolvido e ao estado da técnica disponível. Na prática, isso envolve a implementação de controles como criptografia, gestão de acessos, monitoramento de incidentes e políticas de backup.

Um ponto fundamental é que o operador que descumprir as instruções do controlador ou agir em desacordo com a LGPD pode ser equiparado ao controlador para fins de responsabilização. Isso significa que, se o operador decidir por conta própria utilizar os dados para uma finalidade diferente daquela determinada pelo controlador, ele passa a responder como se controlador fosse, assumindo todas as obrigações e sanções correspondentes.

No contexto de due diligence, verifica-se que a avaliação dos operadores contratados é uma etapa crítica. Antes de compartilhar dados pessoais com um operador, o controlador deve avaliar se esse parceiro possui condições técnicas e organizacionais adequadas para garantir a proteção dos dados. Contratos de prestação de serviços devem conter cláusulas específicas sobre proteção de dados, incluindo obrigações de confidencialidade, medidas de segurança, procedimentos para notificação de incidentes e condições para subcontratação.

Regime de responsabilidade civil e administrativa

O regime de responsabilidade dos agentes de tratamento na LGPD está previsto nos artigos 42 a 45. A lei estabelece que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados, é obrigado a repará-lo.

Observamos que a LGPD adota, como regra geral, a responsabilidade subjetiva (baseada em culpa) para os agentes de tratamento. No entanto, quando o tratamento de dados configura uma relação de consumo, aplica-se o Código de Defesa do Consumidor, que prevê responsabilidade objetiva (independente de culpa). Essa distinção é relevante porque a maioria das relações entre empresas e consumidores finais envolve tratamento de dados pessoais.

Solidariedade entre controlador e operador

A LGPD prevê hipóteses de responsabilidade solidária entre controlador e operador. Isso ocorre quando o operador descumpre as obrigações da legislação ou as instruções lícitas do controlador. Nesse caso, ambos respondem pelos danos causados ao titular. Também há solidariedade quando os controladores estiverem diretamente envolvidos no tratamento do qual decorram os danos.

Na prática, isso significa que o titular prejudicado pode acionar judicialmente tanto o controlador quanto o operador, ou ambos, para obter a reparação do dano. O agente que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso. Essa possibilidade de regresso reforça a importância de contratos bem redigidos entre controladores e operadores, com cláusulas claras de alocação de responsabilidade.

Sanções administrativas aplicáveis

Além da responsabilidade civil, a ANPD pode aplicar sanções administrativas aos agentes de tratamento que violarem a LGPD. As penalidades previstas no artigo 52 incluem advertência, multa simples de até 2% do faturamento da pessoa jurídica (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

A ANPD já publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que estabelece os critérios para cálculo e aplicação das penalidades. Entre os fatores considerados estão a gravidade da infração, a boa-fé do infrator, a vantagem auferida ou pretendida, a condição econômica do infrator, o grau do dano, a cooperação do infrator e a adoção de mecanismos e procedimentos internos capazes de minimizar os danos.

Due diligence em proteção de dados: como estruturar a avaliação

A due diligence em proteção de dados é o processo pelo qual uma organização avalia sistematicamente os riscos relacionados ao tratamento de dados pessoais, seja internamente, seja em relação a terceiros com quem compartilha esses dados. Consideramos essa prática indispensável para qualquer programa de conformidade robusto.

O primeiro passo é realizar o mapeamento completo dos fluxos de dados (data mapping). Isso envolve identificar quais dados pessoais são coletados, de quem, para qual finalidade, onde são armazenados, quem tem acesso, com quem são compartilhados e por quanto tempo são retidos. O artigo 37 da LGPD exige que controladores e operadores mantenham registro das operações de tratamento.

Em seguida, analisa-se a adequação das bases legais utilizadas para cada atividade de tratamento. Cada finalidade deve estar amparada por uma das hipóteses do artigo 7º (para dados pessoais comuns) ou do artigo 11 (para dados pessoais sensíveis). A utilização de base legal inadequada pode comprometer toda a cadeia de tratamento.

A avaliação de terceiros (operadores e outros controladores com quem há compartilhamento) é etapa igualmente crítica. Verifica-se que organizações maduras em proteção de dados utilizam questionários padronizados, auditorias presenciais ou remotas e certificações reconhecidas como critérios para qualificar seus parceiros. A contratação de um operador sem a devida diligência pode gerar responsabilidade solidária para o controlador em caso de incidente.

Por fim, a due diligence deve contemplar a análise dos mecanismos de resposta a incidentes. A LGPD exige que o controlador comunique à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. Ter um plano de resposta a incidentes testado e atualizado é fundamental para cumprir essa obrigação dentro dos prazos regulamentares e minimizar os impactos de eventuais violações.

Esse assunto tem relação direta com lgpd e a responsabilidade, tema que abordamos em artigo específico.

Esse assunto tem relação direta com responsabilidade civil por tratamento, tema que abordamos em artigo específico.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.