*Por Raphael Valentim
Uma questão recorrente nos processos de implementação à Lei Geral de Proteção de Dados é a definição de quem é o controlador e quem é o operador dos dados pessoais. Muitas vezes, durante a negociação, uma das partes aponta contratualmente que ela deve ser a controladora dos dados, mas o que isso significa realmente?
A Lei Geral de Proteção de Dados trouxe o conceito de agentes de tratamento, o controlador e o operador. Basicamente, as definições de controlador e operador podem ser resumidas em poucas linhas: o controlador é aquele a quem competem as decisões referentes ao tratamento de dados pessoais, e o operador é aquele que realiza o tratamento dos dados em nome do controlador.
Apesar da definição ser simples, a sua aplicação prática gera inúmeros desafios relacionados ao enquadramento das partes contratuais em uma ou outra classificação.
Importante, acima de tudo, é que os papéis de controlador e operador não estão relacionados necessariamente com as posições contratuais, de contratante e contratado e, desta mesma forma, não é recomendado que eles sejam tratados desta forma.
Os agentes de tratamento se definem pela relação que possuem com o titular dos dados e pela forma como o tratamento dos dados pessoais é realizado. Essa relação pode, inclusive, variar no curso da interação com o titular dos dados.
Assim, devem ser considerados controladores aqueles que possuem autonomia e independência com relação a utilização dos dados pessoais, podendo decidir sobre a finalidade do tratamento dos dados, a categoria de dados a serem coletados, qual o período de retenção, dentre outras questões relacionadas diretamente com o tratamento dos dados. Já o operador realizará as atividades de tratamento de dados, sempre em nome do controlador.
Assim, é o caso das atividades de vendas online, na qual o portal que realiza a venda é o controlador dos dados, enquanto o serviço de transporte utilizado, nesta situação, atuará como operador, para atender a finalidade específica de entregar os produtos para o comprador.
Independentemente de ser controlador ou operador na relação de tratamento de dados pessoais, a Lei Geral de Proteção de Dados aponta responsabilidades para as duas partes, desde a necessidade de atender todos os princípios relacionados ao tratamento dos dados pessoais, até a necessidade de atender aos direitos dos titulares de dados e determinações da Autoridade Nacional de Proteção de Dados.
Em razão destas disposições e da necessidade de organizar a forma como o controlador e o operador atendem estes direitos, o estabelecimento de cláusulas contratuais é recomendável. Mesmo que a LGPD não traga expressamente esta necessidade.
Recomenda-se desta forma, definir contratualmente o objeto e duração do tratamento dos dados, a natureza e a finalidade do tratamento de dados, os tipos de dados pessoais envolvidos e os direitos e obrigações das partes relacionados ao cumprimento das disposições da Lei Geral de Proteção de Dados.
Com isso, busca-se um melhor relacionamento entre as partes com relação a proteção de dados pessoais.
*Raphael Valentim é associado no escritório Loeser, Blanchet e Hadad Advogados.