Conforme o inciso VII do art. 5º da Lei Geral de Proteção de Dados, o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
O operador é quem efetivamente realiza as operações de tratamento de dados pessoais, em nome do controlador. O operador não tem poder de decisão, mas apenas executa as decisões do controlador.
Em princípio, essa atribuição é do controlador, que pode realizá-la diretamente ou delegá-la ao operador. Assim, de acordo com a definição da LGPD, não há um controlador-operador como agente de tratamento, mas o desempenho das operações de tratamento dos dados pessoais pode ser:
(a) uma tarefa exclusiva do controlador;
(b) ou ser realizada pelo controlador e pelo operador (com a definição, pelo primeiro, das atividades do segundo);
(c) ou ser delegada integralmente pelo controlador ao operador.
Da mesma forma que o controlador, o operador pode ser pessoa natural ou jurídica, de direito público ou privado.
Por exemplo, uma empresa de telemarketing pode ser contratada por uma instituição financeira para o oferecimento de determinados produtos e serviços aos seus clientes. Nesse caso, a empresa de telemarketing será a operadora de dados pessoais (nome, telefone, e-mail, endereço, entre outros necessários para a finalidade pretendida) integrantes de bancos de dados da controladora (instituição financeira).
Apesar de ser subordinado ao controlador na realização do tratamento de dados pessoais, o operador é responsável por determinados atos, observados os seus limites de ação.
Em regra, o operador deve seguir as ordens dadas pelo controlador sobre o tratamento dos dados pessoais, de acordo com as normas de serviço e os princípios e regras da LGPD e de outros atos normativos que eventualmente incidirem sobre a atividade. É o controlador que estabelece os meios e os fins do tratamento de dados pessoais. Consequentemente, o operador não age por vontade própria, mas em estrito cumprimento aos comandos do controlador. Por isso, recomenda-se que haja o registro escrito dos comandos, a fim de delimitar as funções dos agentes de tratamento e apurar a responsabilidade de cada um na ocorrência eventual de incidente.
Ao realizar o tratamento de dados pessoais em nome do controlador, o operador tem a obrigação de cumprir as ordens e instruções dadas por aquele, além de observar as normas legais.
Desse modo, se o operador realizar as operações de tratamento dos dados pessoais de forma contrária à legislação, às ordens lícitas do controlador ou às normas internas da organização, é responsável pelos atos que praticar, de modo solidário com o controlador (art. 42, § 1º, I, da LGPD).
No Direito Comparado, o art. 4º do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia conceitua o “subcontratante” (processor) como sendo “uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes” (art. 4º.8).