Somos Todos Operadores de Dados Pessoais?
Por Oscar Valente Cardoso – Professor, Doutor em Direito (UFRGS) e Juiz Federal.
A Lei Geral de Proteção de Dados Pessoais (LGPD), como a sua denominação indica, é uma lei que incide sobre todos os setores e atividades, independentemente de conteúdo econômico ou lucro.
Por seu caráter objetivo de proteção dos dados pessoais (e não apenas dos titulares desses dados), a LGPD se aplica a todas as relações jurídicas subjetivas que contiverem dados pessoais.
No glossário do art. 5º da lei, há a definição dos seus principais sujeitos: o titular, o controlador, o operador, o encarregado e a Autoridade Nacional de Proteção de Dados (incisos V a VIII e XIX).
Os agentes de tratamento dos dados pessoais são o controlador e o operador. O controlador é o destinatário e o responsável pelo tratamento de dados pessoais, que tem o poder de decisão sobre os dados e define o que será feito com eles, enquanto o operador é o executor, quem efetivamente realiza as operações de tratamento de dados pessoais, em nome do controlador.
Da mesma forma que o controlador, o operador pode ser pessoa natural ou jurídica, de direito público ou privado. Por exemplo, uma empresa de telemarketing pode ser contratada por uma instituição financeira para o oferecimento de determinados produtos e serviços aos seus clientes. Nesse caso, a empresa de telemarketing será a operadora de dados pessoais (nome, telefone, e-mail, endereço, entre outros necessários para a finalidade pretendida) integrantes de bancos de dados da controladora (instituição financeira).
Em regra, o operador deve seguir as ordens dadas pelo controlador sobre o tratamento dos dados pessoais, de acordo com as normas de serviço e os princípios e regras da LGPD e de outros atos normativos que eventualmente incidirem sobre a atividade. É o controlador que estabelece os meios e os fins do tratamento de dados pessoais. Consequentemente, o operador não age por vontade própria, mas em estrito cumprimento aos comandos do controlador. Por isso, recomenda-se que haja o registro escrito dos comandos, a fim de delimitar as funções dos agentes de tratamento e apurar a responsabilidade de cada um na ocorrência eventual de incidente.
Considerando o aspecto genérico das normas da LGPD e sua incidência em setores variados, a sua regulamentação não é realizada de modo uniforme. Além disso, dentro de uma mesma área existe o risco de existirem interpretações e regras diferentes.
Nesse sentido, a regulamentação da LGPD no Judiciário e nas atividades relacionadas à prestação jurisdicional não tratou o operador de modo uniforme.
Por exemplo, o TJDFT designou como operadores todos os colaboradores que exercerem alguma atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal (art. 5º da Resolução nº 9/2020). Os atos do Conselho da Justiça Federal (Portaria CJF nº 64/2021), do TJSP (Portaria nº 9.918/2020) e do TJRS não designam os operadores (Ato nº 37/2020).
No Ministério Público do Estado do Rio Grande do Sul, todos os membros, servidores e estagiários da instituição foram designados como operadores dos dados pessoais (art. 6º do Provimento nº 68/2020).
O texto do inciso VII do art. 5º da LGPD não realiza nenhuma especificação sobre quais são as pessoas que trabalham em uma organização que podem – ou não ser – operadores de dados pessoais. Ao contrário, indica todas elas como operadoras, se realizarem tratamento de dados.
Enquanto o encarregado deve ser indicado formalmente pelo controlador (art. 41 da LGPD), não é necessária a designação formal dos operadores.
Além disso, a LGPD não diferencia o desempenho de atividades-meio ou de atividades-fim da organização para identificar o operador. Por exemplo, um cientista de dados, uma secretária, um gerente de vendas e uma diretora de recursos humanos são operadores de dados pessoais quando, no desempenho de suas atividades, realizarem alguma operação de tratamento.
Logo, a realização de qualquer atividade de tratamento, no conceito amplo e aberto do inciso X do art. 5º (que abrange o acesso, a utilização, a classificação, o armazenamento e qualquer outra operação realizada com dados pessoais), por qualquer pessoa sob o comando do controlador (a própria pessoa jurídica ou, eventualmente, uma pessoa em posição de comando hierárquico), permite o enquadramento do executor como operador.
Em consequência, independentemente de existir – ou não – a indicação formal, quem realizar qualquer atividade de tratamento de dados pessoais (como os advogados na elaboração de uma petição, os integrantes do Ministério Público ou da Defensoria Pública na consulta a um processo, os magistrados na análise dos pedidos e requerimentos das partes, o perito na elaboração do laudo) é considerado um operador e deve observar as normas da Lei Geral de Proteção de Dados.
Sobre o Autor
Não me parece correto apontar um funcionário do controlador como um operador. Na verdade, se um funcionário ligado a um controlador é um operador, o controlador deixa de existir?
Operadores são pessoas naturais ou empresas que realizam tratamentos sob instruções do controlador. O Controlador, sendo um PJ, é composto por todos os seus colaboradores. Assim, um colaborador não é um operador. Tem que ler um pouco mais que as “definições”, bem como entender como se dão as relações entre empresas, e olhar para a GDPR de onde vem os termos controller e processor.
Interpretação totalmente descabida. Então será necessário realizar “due dilligence” de todos os colaboradores? A responsabilidade perante a ANPD será individualizada? E por aí vai.