A Lei Geral de Proteção de Dados Pessoais (LGPD) apresenta dois agentes responsáveis por realizar o tratamento de dados pessoais: o controlador e o operador.
Enquanto o controlador é aquele que toma decisões sobre como o tratamento deve ser realizado, o operador é, segundo o art. 5º, VII, a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Os arts. 37 a 40 da LGPD estabelecem importantes responsabilidades e obrigações para o operador, reforçando sua relevância na conformidade com a legislação.
Neste texto, vamos explorar o papel do operador no contexto da LGPD, analisando suas responsabilidades, diferenças em relação ao controlador e as consequências jurídicas de eventuais descumprimentos.
Eis os tópicos a serem explorados:
- Quem é o operador na Lei Geral de Proteção de Dados Pessoais
- A figura do suboperador
- As responsabilidades do operador
- Diferenças e convergências entre controlador e operador
O primeiro passo é entender exatamente quem é o operador.
Quem é o operador na Lei Geral de Proteção de Dados Pessoais
Como vimos, o operador é o agente que realiza o tratamento de dados pessoais em nome do controlador.
De forma simplificada, é possível pensar que o controlador é o agente de tratamento que decide e o operador é o que executa. É isso que se depreende do art. 39 da LGPD, que dispõe:
“Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.”
Segundo o Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado da Autoridade Nacional de Proteção de Dados (ANPD), o operador possui as seguintes responsabilidades:
- Seguir as instruções do controlador
- Firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador
- Dar ciência ao controlador em caso de contrato com suboperador
O rol evidencia três fatos em relação ao operador:
- que o ele só pode agir nos limites das decisões tomadas pelo controlador;
- que, embora não seja obrigatório pela LGPD, a assinatura de contrato entre ele e controlador é recomendada pela ANPD;
- que, apesar de não existir expressamente na LGPD, a figura do suboperador é aceita pela ANPD.
Em relação à natureza jurídica, a lei dispõe que o operador pode ser pessoa natural ou jurídica, de direito público ou privado.
Na prática, contudo, observa-se que quase sempre ele vai aparecer como uma pessoa jurídica, sendo esta considerada como agente de tratamento (e não as pessoas naturais que para ela trabalham).
A figura do suboperador
O Guia da ANPD diz que, embora a lei não preveja a figura do suboperador, “o tema pode ser utilizado como parâmetro de análise para compreensão de cadeias mais complexas de tratamento de dados”.
Na argumentação da Autoridade Nacional, a ausência de previsão legal expressa “não impossibilita ou torna ilegal que ele exista ou que tenha funções, competências e responsabilidade no ambiente de proteção de dados pessoais brasileiro, principalmente porque pode desempenhar a função de operador em subordinação a outro operador”.
Assim, o suboperador seria alguém contratado pelo operador para auxiliar na execução do tratamento de dados pessoais em nome do controlador.
A ANPD recomenda que o operador, ao contratar um suboperador, obtenha autorização formal do controlador, de preferência de modo expresso no contrato firmado entre as partes.
As responsabilidades do operador na LGPD
A LGPD não é muito específica em relação às responsabilidades do operador, apenas o definindo como aquele que realiza o tratamento de dados pessoais em nome do controlador.
O sucinto art. 39 dispõe que o operador deve realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
Um pouco antes, o art. 37 dispõe que os dois agentes de tratamento devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando utilizarem a base legal do legítimo interesse.
Ademais, ambos possuem a obrigação de reparação se causarem dano patrimonial, moral, individual ou coletivo, no âmbito de suas respectivas esferas de atuação, conforme disposto no art. 42.
A ANPD, contudo, diz em seu Guia que a responsabilidade solidária estabelecida pelo inciso I, § 1º do art. 42, prevista para os casos de danos causados em razão do tratamento irregular realizado por operador por descumprir as obrigações da LGPD ou por não observar as instruções do controlador, pode ser considerada como uma excepcionalidade.
Ou seja, em regra a responsabilidade é do controlador, mas havendo a exceção, o operador é a ele comparado para responder pelo dano.
Diferenças e convergências entre controlador e operador
Embora ambos sejam agentes de tratamento de dados pessoais, o operador sempre é uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos.
O controlador é um agente sempre presente, mas pode haver casos em que não exista a figura do operador.
Conforme visto, as atribuições e níveis de autonomia dos dois agentes de tratamento diferem significativamente.
Enquanto o controlador toma as decisões estratégicas sobre o tratamento de dados pessoais, o operador executa essas decisões de forma prática, seguindo as instruções recebidas.
A principal diferença entre eles, portanto, é o poder de decisão.
Principais Diferenças em relação ao Controlador
| Aspecto | Controlador | Operador |
| Autonomia nas decisões | Define finalidades e meios do tratamento de dados. | Executa o tratamento conforme instruções. |
| Responsabilidade legal | É solidariamente responsável por violações da LGPD. | Responde pelas atividades que realizar diretamente. |
| Relação com o titular | Responsável por garantir os direitos do titular. | Atua sob orientação do controlador. |
Conclusão
Embora desprovido de poder decisório, o operador não pode ser reduzido a uma função meramente executiva. Este agente de tratamento desempenha um papel essencial na garantia da conformidade com a LGPD, sendo um parceiro estratégico do controlador na proteção dos dados pessoais e no atendimento às diretrizes da ANPD.
A análise das responsabilidades deste agente evidencia sua relevância na cadeia de tratamento. Negligências ou omissões podem gerar implicações legais severas, destacando a importância de boas práticas e de uma atuação transparente e proativa.
Compreender esse papel reforça a importância de uma cultura organizacional voltada à proteção de dados, garantindo a segurança jurídica e o respeito aos direitos fundamentais.
