O inciso IX do art. 5º da Lei Geral de Proteção de Dados prevê que são agentes de tratamento o controlador e o operador.
Os sujeitos referidos na LGPD que participam das relações jurídicas de coleta e as demais atividades de tratamento de dados pessoais (e outras relacionadas a elas) são o titular, o controlador, o operador e o encarregado, além da Autoridade Nacional de Proteção de Dados (ANPD).
Contudo, de forma mais restrita, a lei esclarece que apenas o controlador e o operador são os agentes de tratamento, ou seja, são as pessoas (naturais ou jurídicas) diretamente envolvidas nas operações de tratamento de dados pessoais.
Apesar de serem considerados como agentes de tratamento, as atribuições e responsabilidades do controlador e do operador são diferentes.
Recorda-se que o controlador tem o poder de decisão sobre as operações de tratamento, enquanto o operador executa essas atividades, de forma subordinada àquele, de acordo com as normas de serviço e os princípios e regras da LGPD e de outros atos normativos incidentes sobre a sua atividade.
Em comum, os agentes de tratamento possuem os seguintes deveres:
(a) de transparência sobre a realização do tratamento e de sua identificação para os titulares de dados pessoais, observados os segredos comercial e industrial (art. 5º, VI);
(b) observância dos princípios gerais da LGPD e garantia dos direitos do titular (art. 7°, § 6º);
(c) a correção, a eliminação, a anonimização ou o bloqueio dos dados tratados em uso compartilhado, quando informados sobre a operação por parte do responsável pelo compartilhamento (art. 18, § 6º);
(d) a manutenção do registro das operações de tratamento de dados pessoais que realizarem, especialmente quando a sua base legal for o legítimo interesse (art. 37);
(e) a adoção de medidas de segurança, técnicas e administrativas aptas à proteção dos dados pessoais, especialmente contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46);
(f) a garantia a segurança da informação em relação aos dados pessoais, mesmo após o seu seu término (art. 47);
(g) a utilização, no tratamento dos dados pessoais, de sistemas que observem os requisitos de segurança, os padrões de boas práticas e de governança, os princípios gerais previstos na LGPD e as demais normas regulamentares da atividade (art. 49);
(h) a elaboração de regras de boas práticas e de governança relacionadas ao tratamento de dados pessoais (art. 50).
Ao não cumprirem as normas previstas na LGPD, além das medidas cíveis (e, eventualmente, criminais) cabíveis em virtude da prática de ato ilícito ou da ocorrência de dano, os agentes de tratamento de dados também estão sujeitos às sanções administrativas aplicáveis pela ANPD (art. 52).
Em regra, o controlador é responsável pelo descumprimento das normas da LGPD e pelos danos causados (art. 42, caput e § 1º, II, da LGPD).
Ainda, o operador pode ser responsabilizado de forma solidária com o controlador, quando descumprir os deveres previstos nas normas de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador (art. 42, § 1º, I, da LGPD), ressalvadas as excludentes de responsabilidade previstas no art. 43 da LGPD.