Walmar Andrade
Digite sua busca...
Siga-me
Walmar Andrade
por Walmar Andrade10 min. de leitura

O papel decisório do Controlador na Lei Geral de Proteção de Dados Pessoais

Compartilhe:FacebookXLinkedInWhatsApp
Controlador

Controlador, segundo a Lei Geral de Proteção de Dados Pessoais (LGPD), é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Junto com o operador, o controlador é um dos dois agentes de tratamento previstos na lei de proteção de dados pessoais.

O controlador desempenha um papel central no tratamento, sendo responsável por determinar as finalidades e os meios utilizados no processamento de informações pessoais.

O conhecimento sobre o controlador permite entender como empresas e instituições podem atuar de forma ética e em conformidade com a LGPD, minimizando riscos jurídicos e protegendo a privacidade dos titulares.

Neste artigo, exploraremos quem é o controlador, quais são suas funções, como ele se relaciona com outros agentes e os desafios enfrentados para garantir a conformidade com a LGPD.

Para isso, vamos abordar os seguintes tópicos:

O primeiro passo é entender exatamente quem é o controlador.

Quem é o controlador para a LGPD?

Tratamento de dados pessoais, segundo o art. 5º, X, da LGPD, é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A lista extensiva de 20 substantivos que indicam ações deixa claro que praticamente qualquer coisa que se faça com um dado pessoal pode ser considerada tratamento.

Assim, quem faz qualquer uma dessas ações são os agentes de tratamento. E, para a LGPD, existem apenas dois agentes de tratamento:

  1. O Controlador
  2. O Operador

Outros atores citados na lei, como o encarregado de proteção de dados, o titular dos dados pessoais e mesmo a ANPD ou o CNPD, não são considerados agentes de tratamento.

O controlador, como vimos, pode ser uma pessoa física ou jurídica, de direito público ou privado. A natureza jurídica não importa tanto, o que o define é a competência para tomar decisões referentes ao tratamento de dados pessoais.

Segundo o Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado:

“Na maioria das vezes, o controlador será uma pessoa jurídica, seja de direito privado, seja de direito público. É o que ocorre, por exemplo, quando sociedades empresárias ou entidades públicas tomam as principais decisões a respeito do armazenamento, da eliminação ou do compartilhamento de informações que integram um banco de dados pessoais que é gerido no âmbito da organização. (…)

Daí decorre que não são controladoras as pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos. É o caso de empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta.”

O mais importante é entender que o controlador é responsável por definir as finalidades (o “porquê”) e os meios (o “como”) para a coleta, processamento, armazenamento e compartilhamento de informações pessoais.

É ele quem decide, por exemplo:

  • Quais dados serão tratados: por exemplo, nome, endereço, e-mail, ou dados pessoais sensíveis, como religião ou orientação política.
  • A finalidade do tratamento: se os dados serão utilizados para marketing, prestação de serviços, cumprimento de obrigações legais, entre outros.
  • Os meios a serem utilizados: tecnologias, ferramentas ou métodos de processamento.

O papel do controlador é central porque ele responde legalmente por garantir que o tratamento de dados ocorra em conformidade com a LGPD, respeitando os direitos dos titulares e utilizando uma das bases legais previstas no artigo 7º para o caso de tratamento de dados não sensíveis. 

Essa posição de destaque também implica maiores responsabilidades e riscos, especialmente no caso de violações de dados.

Com essa definição clara, o próximo passo é compreender as funções específicas e as responsabilidades que a LGPD atribui ao controlador.

Funções e responsabilidades do controlador

Como visto, as funções e responsabilidades do controlador estão diretamente relacionadas à tomada de decisões estratégicas sobre o tratamento de dados pessoais e à garantia de conformidade com a LGPD. 

A legislação não trouxe um rol específico e taxativo com as responsabilidades deste agente de tratamento, mas sim as espalhou ao longo de todo o texto.

Eis algumas das responsabilidades específicas do controlador:

  • Decidir como será o tratamento de dados
  • Decidir qual será a base legal utilizada para o tratamento
  • Elaborar o relatório de impacto à proteção de dados pessoais
  • Provar que obteve consentimento do titular nos casos em que o tratamento for realizado com base em consentimento
  • Informar ao titular se houver alterações nas informações de identificação ou contato do controlador, bem como nas de uso compartilhado de dados ou finalidade do tratamento
  • Adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse
  • Manter pública a informação sobre os tipos de dados de crianças e adolescentes coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos
  • Realizar, no caso de tratamento de dados de crianças, todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança
  • Responder as requisições dos titulares
  • Fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada
  • Manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse
  • Fornecer informações ao operador
  • Indicar o encarregado pelo tratamento de dados pessoais, publicando suas informações de contato
  • Reparar danos causados em razão do exercício de atividade de tratamento de dados pessoais
  • Comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares
  • Formular regras de boas práticas e de governança

Entre os agentes de tratamento, o controlador é a figura que sempre estará presente. Caso ache necessário, o controlador pode contratar um operador para realizar o tratamento de dados pessoais em seu nome.

A relação entre controlador e operador

A LGPD estabelece uma distinção clara entre os papéis de controlador e operador, detalhando suas responsabilidades e a forma como interagem durante o tratamento de dados pessoais. 

Embora compartilhem a missão de realizar o tratamento de dados em conformidade com a legislação, suas atribuições e níveis de autonomia diferem significativamente.

Enquanto o controlador toma as decisões estratégicas sobre o tratamento de dados pessoais, o operador executa essas decisões de forma prática, seguindo as instruções recebidas.

A principal diferença entre eles, portanto, é o poder de decisão.

Principais Diferenças entre Controlador e Operador

AspectoControladorOperador
Autonomia nas decisõesDefine finalidades e meios do tratamento de dados.Executa o tratamento conforme instruções.
Responsabilidade legalÉ solidariamente responsável por violações da LGPD.Responde pelas atividades que realizar diretamente.
Relação com o titularResponsável por garantir os direitos do titular.Atua sob orientação do controlador.

Embora o operador atue sob as instruções do controlador, ambos podem ser responsabilizados solidariamente por danos causados aos titulares de dados.

Controladoria conjunta e controladoria singular

Embora não esteja expressamente prevista na LGPD, existe a possibilidade de haver uma controladoria conjunta, ou seja, uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador.

O próprio , art. 42, §1º, II, deixa isso subentendido ao dispor que quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária.

O Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado da ANPD utiliza-se do art. 26 do GDPR (Regulamento Geral sobre a Proteção de Dados da União Europeia) para definir controladoria conjunta da seguinte forma:

“Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente, as respectivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respectivos deveres de fornecer as informações referidas nos artigos 13º e 14º, a menos e na medida em que as suas responsabilidades respectivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contato para os titulares dos dados.”

O Guia explica, ainda, que não ocorre controladoria conjunta quando os objetivos do tratamento são distintos. Se diversos controladores podem tratar dados abertos do governo, por exemplo, mas cada um possuir suas finalidades específicas, ambos serão controladores singulares.

A identificação da controladoria conjunta sempre dependerá do contexto, utilizando-se principalmente três critérios estabelecidos pela ANPD:

  • Mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais
  • Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento
  • Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento.

Assim, apenas a análise do caso concreto permitirá identificar em que casos a controladoria conjunta foi de fato estabelecida.

Conclusão

A posição do controlador como agente de tratamento na LGPD é central para a governança dos dados pessoais. 

Ao definir as finalidades e os meios do tratamento, ele carrega a maior parte das responsabilidades legais e éticas, sendo peça-chave na proteção dos direitos dos titulares e na construção de uma cultura de privacidade.

No entanto, para cumprir adequadamente seu papel, o controlador deve adotar uma postura proativa, implementando medidas de segurança robustas, promovendo a transparência no tratamento de dados e estabelecendo relações contratuais claras com operadores e outros parceiros, seguindo os princípios da LGPD.

Além disso, a colaboração entre controlador e operador e, em alguns casos, entre controladores conjuntos, é essencial para garantir a conformidade com a lei e mitigar riscos jurídicos e reputacionais.

Com o avanço da regulamentação e o aumento da fiscalização por parte da ANPD, cabe ao controlador estar atento às melhores práticas e às atualizações legais, garantindo que o tratamento de dados pessoais seja realizado de maneira ética, segura e alinhada aos princípios da lei.

Ao compreender profundamente as atribuições e os desafios dessa função, é possível transformar a conformidade com a LGPD não apenas em uma obrigação legal, mas em uma oportunidade de construir confiança com clientes e parceiros, fortalecendo a reputação e a sustentabilidade dos negócios.

Foto por Callum Hilton

Tags:
Compartilhe:FacebookXLinkedInWhatsApp
Escrito por
Walmar Andrade
Leia também
Walmar Andrade

Menu

Posts recentes