Controlador

Definição legal

O controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais.

De acordo com o Guia Orientativo para Definições dos Agentes de Tratamento dos Dados Pessoais e do Encarregado, publicado em maio de 2021 pela Autoridade Nacional de Proteção de Dados (ANPD), situação peculiar é a das pessoas jurídicas de direito público, cujas competências decisórias são distribuídas internamente entre diferentes órgãos públicos. A LGPD atribuiu aos órgãos públicos obrigações típicas de controlador, indicando que, no setor público, essas obrigações devem ser distribuídas entre as principais unidades administrativas despersonalizadas que integram a pessoa jurídica de direito público e realizam tratamento de dados pessoais.

 

Decisões do Controlador

• O tratamento não precisa ser realizado diretamente pelo controlador. Muito embora o controlador também trate dados pessoais, o elemento distintivo é o poder de decisão, admitindo-se que o controlador forneça instruções para que um terceiro  (“operador”) realize o tratamento em seu nome;

• Desnecessidade de que todas as decisões sejam tomadas pelo controlador, bastando apenas que este mantenha sob sua influência e controle as principais decisões, Secretaria de Planejamento e Gestão Estratégica isto é, aquelas relativas aos elementos essenciais para o cumprimento da finalidade do tratamento; 

• Definição da finalidade do tratamento, que será sempre estabelecida pelo controlador, a quem compete, em conformidade com as disposições da LGPD, estipular os objetivos que justificam a realização do tratamento, bem como a sua respectiva base legal; 

• Além da finalidade, o controlador é o responsável por estabelecer outros elementos essenciais relativos ao tratamento. É o caso da definição da natureza dos dados pessoais tratados e da duração do tratamento.

Obrigações Específicas ao Controlador

Elaborar relatório de impacto à proteção de dados pessoais (art. 387), comprovar que o consentimento obtido do titular atende às exigências legais (art. 8º, § 2º) e comunicar à ANPD a ocorrência de incidentes de segurança (art. 48). Além disso, a atribuição de responsabilidades em relação à reparação por danos decorrentes de atos ilícitos é distinta de acordo com a qualificação do agente de tratamento, isto é, se controlador ou operador, conforme o disposto nos arts. 42 a 45.

Deveres

O papel de controlador pode decorrer expressamente de obrigações estipuladas em instrumentos legais e regulamentares ou em contrato firmado entre as partes. Não obstante, a efetiva atividade desempenhada por uma organização pode se distanciar do que estabelecem as disposições jurídicas formais, razão pela qual é de suma importância avaliar se o suposto controlador é, de fato, o responsável pelas principais decisões relativas ao tratamento.

Direitos dos Titulares dos Dados

 São, em regra, exercidos em face do controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, receber requerimento de oposição a tratamento. O titular dos dados pode, ainda, peticionar contra o controlador perante a ANPD, o que denota a relevância da compreensão do conceito não só para os profissionais da área, mas também para o cidadão comum.


Operador

Definição legal

 

O art.5º. inc.VII, da LGPD, diz q o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, o qual verificará a observância das próprias instruções e das normas sobre a matéria (art. 39).

 

Atuação do Operador

 

Juntamente com o controlador, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais (art. 50  da Lei nº 13.709/2018).

 

Obrigações Específicas ao Operador

 

            Segundo o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, as obrigações do operador são:

  • Seguir as instruções do controlador;
  • Firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador e, durante execução contratual, tratarem dados pessoais em nome do TCE-PA de competências administrativas do Tribunal. 
  • Dar ciência ao controlador em caso de contrato com suboperador.

 

Da Responsabilidade e do Ressarcimento de Danos

 

O operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo (art. 42 da LGPD), respondendo solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 da Lei (art. 42, §1º, I,  da Lei nº 13.709/2018).