A proteção de dados, fomentada pelo avanço tecnológico, é cada vez mais debatida nas mais variadas áreas da sociedade. Tal interesse crescente acontece, pois, há uma maior consciência de que o uso indevido de dados pode acarretar severos danos, inclusive podendo manipular as escolhas dos seus titulares.
Dentre as diversas novidades trazidas pela Lei Geral de Proteção de Dados (lei 13.709/2018), está a criação da categoria de agentes de tratamento, que engloba a figura do controlador e operador. Contudo, justamente por se tratar de uma lei nova, surgem dúvidas quanto aos limites de atuação desses agentes de tratamento na prática – a ponto de a Autoridade Nacional de Proteção de Dados ter produzido recentemente um guia orientativo para definir os agentes de tratamento.1
Muito se fala sobre o controlador e seu poder de decisão sobre o tratamento de dados pessoais, mas quem, efetivamente, faz o tratamento dos dados? Quem coloca o guizo no gato como na fábula de Esopo, recontada por La Fontaine?
O operador, pois, nos termos do artigo 5º, inciso VII, da LGPD, sendo uma pessoa natural ou jurídica, de direito público ou privado, é quem realiza o tratamento de dados pessoais em nome do controlador.
A caracterização do agente como controlador ou como operador é sempre contextual, variando conforme a atividade de tratamento específica: uma mesma empresa pode ser controladora ou operadora para atividades diferentes.2 Como exemplo prático de operador, o Tribunal de Justiça de São Paulo, através da Portaria nº 9.918/2020, estabeleceu que, enquanto o próprio Tribunal é o controlador dos dados pessoais por ele tratados, são considerados operadores os provedores de serviços de Tecnologia da Informação e Comunicação daquele Poder Judiciário.
O operador não poderá ser um empregado específico da empresa, pois a capacidade de realização de atividades é sempre da instituição e não do funcionário.3 Nesse compasso, no tratamento de dados de usuários de um e-commerce, a empresa de e-commerce será a controladora, as empresas que fornecem a tecnologia, o gateway de pagamento e a nuvem para armazenar os dados serão operadores, sendo que os funcionários de todas essas empresas não serão nem controladores, nem operadores, mas apenas parte da empresa controladora ou operadora.4
Embora atue em nome do controlador e obedecendo suas decisões, o operador poderá exercer certo controle, principalmente, sobre os aspectos técnicos relativos a um serviço específico que será prestado, podendo escolher, por exemplo, o sistema de segurança envolvendo o armazenamento e guarda dos dados pessoais; todavia, somente o controlador poderá tomar decisões sobre as finalidades do tratamento, as bases legais de tratamento e o conteúdo dos dados.5
E quais seriam os seus deveres? Destaca-se que a LGPD fomentou o aspecto preventivo, estabelecendo procedimentos mandatórios para os agentes de tratamento, como, exemplificativamente. ao estabelecer deveres referentes à implementação de severas políticas de segurança para proteção dos dados de acessos não autorizados.6 Nesse sentido, e da leitura em conjunto com o artigo 46 da LGPD, pode-se afirmar que essa lei consagrou um dever geral de segurança.
O operador, portanto, deve exercer o tratamento de dados guiado por esse dever de segurança. Assim, deve, o operador, certificar-se de que o seu sistema de segurança, que armazena e guarda os dados pessoais, esteja devidamente protegido contra eventuais ataques cibernéticos, providenciando a proteção necessária. Relacionado a este dever de segurança, está o artigo 37 da LGPD, que prevê ao controlador e ao operador a obrigação de manter registro das operações de tratamento de dados que realizar, especialmente quando baseado no legítimo interesse. Mostra-se necessário, em conformidade ao dever de segurança, que o controlador e operador sempre mantenham atualizado o registro das operações de tratamento.
Quanto à relação entre operador e compliance, o artigo 50 da LGPD possibilita que os operadores e controladores formulem regras de boas práticas e de governança, com a ressalva, no seu parágrafo primeiro, de que os agentes de tratamento levem em consideração a natureza, o escopo, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
Entre os procedimentos de boas práticas, a doutrina destaca: a realização de mapeamento de todos os processos de tratamento de dados pessoais para avaliação dos efetivos riscos; a criação de uma matriz de riscos; a adequação dos sistemas e documentos internos aos princípios do tratamento de dados pessoais; o compromisso da alta direção da organização a fim de dar credibilidade ao programa de boas práticas; treinamento dos funcionários e colaboradores para que adequem as suas atividades à LGPD; revisão e implementação contínua do programa de governança, com auditorias internas periódicas.7
Conforme já visto, as atividades do operador são feitas em nome do controlador. Assim, a formulação de regras de boas práticas e de governança só poderá ser realizada pelo operador se houver determinação do controlador para tanto, estando o poder decisório do operador limitado aos aspectos técnicos referentes a como um serviço específico será prestado. Contudo, isso não elimina a liberdade do operador de ter seu próprio programa de governança, boas práticas e compliance para pautar a sua atuação, justificando, inclusive, a negativa de realização dos comandos do controlador.
Quanto à responsabilidade civil do operador, para que ocorra a sua responsabilização por danos decorrentes do tratamento, deve haver uma violação legislação de proteção de dados, especialmente, do dever geral de segurança acima referido, representado pela contrariedade a padrões de conduta que legitimamente se pode esperar de um operador. Isso ocorre na hipótese de o operador não tomar as devidas providências de segurança nos seus sistemas de coleta e armazenamento de dados, acarretando vazamentos. O padrão de conduta esperado seria aquele em que o operador mantivesse o sistema seguro (como através de constantes atualizações), bem como notificasse o controlador em caso de qualquer incidente de segurança.
No âmbito administrativo, o artigo 52 da LGPD estabelece que controlador e o operador ficam sujeitos às sanções administrativas aplicáveis pela ANPD em razão das infrações cometidas às normas previstas, que podem ser desde advertências, com indicação de prazo para adoção de medidas corretivas, até multa simples, de até 2% do faturamento, limitada a R$ 50.000.000,00 por infração, e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
O artigo 52, § 1º, da LGPD, por sua vez, determina que, para a aplicação das sanções administrativas, serão consideradas, dentre outros critérios, o da adoção de política de boas práticas e governança. Assim, é importante que o operador demonstre, no processo administrativo, que atuou em conformidade com as boas práticas no tratamento.
Igualmente, mostra-se necessário que o operador comprove a observância ao dever geral de segurança – assim como ocorre no âmbito da responsabilidade civil. Nesse sentido, é essencial que o operador guarde o registro das operações de tratamento de dados pessoais que realizou, nos termos do artigo 37, da LGPD, bem como que demonstre que sempre manteve atualizado o software utilizado na coleta e armazenamento de dados, no intuito de evitar qualquer incidente de segurança.
Por conseguinte, verifica-se que, embora seja o controlador que tenha autonomia decisória sobre a finalidade do tratamento dos dados, a figura do operador é de suma relevância para que se possa haver uma proteção de dados efetiva, pois ele irá realizar o tratamento, sendo o primeiro a notificá-lo em caso de incidente de segurança. Com o intuito de evitar a ocorrência de incidentes, mostra-se essencial que o operador atue em conformidade com as normas e princípios da LGPD, notadamente o dever geral de segurança e as boas práticas e governança. Caso assim não proceda, como os ratos da fábula, expostos aos riscos da tarefa de colocar o guizo no gato, estará, o operador, sujeito a suportar os riscos decorrentes do tratamento de dados pessoais.
__________
1 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia orientativo para definição dos agentes de tratamento de dados pessoais. Disponível aqui. Acesso em: 06 de jun. de 2021.
2 LEONARDI, Marcel. Controladores e operadores: papéis, distinções, mitos e equívocos. In: FRANCOSKI, Denise de Souza Luiz; TASSO, Fernando Antônio (Coords.). A Lei Geral de Proteção de Dados Pessoais: LGPD - Ed. 2021. São Paulo: Revista dos Tribunais. E-book.
3 PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei nº 13.709/2018. 3ª ed. São Paulo: Saraiva Jur, 2021. E-book.
4 CABELLA, Daniela Monte Serrat; FERREIRA, Raíssa Moura. Descomplicando: agentes de tratamento. Disponível aqui. Acesso em: 09 de maio de 2021.
5 LEONARDI, Marcel. Controladores e operadores: papéis, distinções, mitos e equívocos. In: FRANCOSKI, Denise de Souza Luiz; TASSO, Fernando Antônio (Coords.). A Lei Geral de Proteção de Dados Pessoais: LGPD - Ed. 2021. São Paulo: Revista dos Tribunais. E-book.
6 FRAZÃO, Ana; OLIVA, Milena Donato; ABÍLIO; Vivianne da Silveira. Compliance de dados pessoais. In: TEPEDINO; Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Revista do Tribunais, p. 681.
7 MATTIUZZO, Marcela.; CARVALHO, Vinícius Marques de; PONCE, Paula Pedigoni. Boas práticas e governança na LGPD. In: DONEDA, Danilo et al (Coord.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book.