INTRODUÇÃO
Em princípio, controlador e operador de dados são enquadrados como agentes de tratamento de dados para os fins da LGPD, sendo responsáveis por toda operação de dados pessoais no âmbito do negócio (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).
De maneira geral, o operador atua de acordo com as instruções do controlador, a bem dizer como agentes terceirizados das atividades de tratamento. Essa concepção é, em parte, oriunda do regramento da União Europeia sobre proteção de dados, que retratava as figuras do responsável pelo tratamento de dados e sua ligação com o subcontratante, conceitos próximos ao de controlador e operador de dados no Brasil, respectivamente (Rossini, 2021).
Nos termos do Art. 5º, inciso VI da Lei Federal nº 13709/2018, o controlador de dados é pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. Em contrapartida, o inciso VII trata do operador de dados como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Por isso, a principal distinção entre controlador e operador consiste no poder decisório.
Ocorre que no âmbito do Direito do Trabalho o conceito de empregado esbarra, em certa medida, na definição de operador de dados para fins de incidência da LGPD, sobretudo na seara da responsabilidade atribuída a este agente de tratamento nos casos de vazamentos, surgindo o debate sobre a possibilidade jurídica do enquadramento de empregados como operadores de dados em empresas e organizações, tema central a ser abordado neste artigo.
DO DESENVOLVIMENTO
Em linhas gerais, à luz da sistemática da Lei Geral de Proteção de Dados Pessoais, o operador de dados responde, de forma solidária, pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador (Gregório; Procópio, 2021). Por essa exceção, operador e controlador são equiparados para fins de responsabilidade.
Lado outro, pela hermenêutica do Art. 2º da CLT, cabe ao empregador assumir os riscos da atividade econômica que exerce – não sendo legítimo, como regra, sua transmissão ou compartilhamento com os empregados.
Poderia, então, um empregado sob a égide da CLT ser enquadrado como operador de dados, inclusive para a responsabilidade de que trata o Art. 42, §1º da LGPD? Até então, duas correntes surgiram para apreciação da questão. A primeira, que me parece minoritária, defendia a inexistência de qualquer impedimento legal na LGPD para que o empregado figurasse como operador de dados.
Em contrapartida, a segunda corrente, mais aceita pela doutrina e jurisprudência, defende a impossibilidade desse enquadramento com base na legislação europeia que inspirou a LGPD, conhecida como “General Data Protection Regulation” (GDPR). Nesse contexto, o operador de dados deveria ser agente externo, não podendo ser subordinado ao controlador de dados (GREGÓRIO; PROCÓPIO, 2021).
Colaborando com o estudo da matéria, a Autoridade Nacional de Proteção de Dados (ANPD), assumindo a sua função de promover o conhecimento sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) e sua aplicabilidade, publicou o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais”, em abril de 2022, abordando as figuras do controlador e operador de dados.
Em especial atenção ao item 4.2, assim foi disposto:
58. De acordo com a LGPD, pessoas físicas e jurídicas de direito público e privado podem atuar como operadoras. Na maior parte das vezes, o operador é uma pessoa jurídica, que é contratada pelo controlador para realizar o tratamento de dados, conforme as instruções deste último. Contudo, não há óbices para que uma pessoa natural contratada como prestadora de serviços para uma finalidade específica possa ser considerada operadora de dados. 59. Em caso de pessoa jurídica, importa destacar que a organização ou empresa é entendida como agente de tratamento, de forma que seus funcionários apenas a representam. Assim como explicado no tópico 2.2 e de forma análoga à definição de controlador, a definição legal de operador também não deve ser entendida como uma norma de distribuição interna de competências e responsabilidades. 60. Nesse cenário, empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta não devem ser considerados operadores, tendo em vista que o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos.
Sabendo que os empregados atuam sob o poder diretivo do empregador (controlador de dados), em tese o enquadramento como operador de dados seria prejudicado, sendo afetado pela subordinação que disciplina o vínculo empregatício.
Por essa ótica, um contador interno de uma empresa, enquanto empregado, não pode ser considerado agente de tratamento. Entretanto, havendo a existência de escritório de contabilidade externo ou contador contratado como prestador de serviços, legítimo será o enquadramento como operador de dados (ROSSINI, 2021).
Nesse sentido, destaco o seguinte trecho de Viviane Ribeiro e Maurício Pallotta Rodrigues:
“Ao tratar especificamente da figura do operador, ficou muito clara a decorrência lógica no sentido de que as pessoas naturais, as quais atuam como profissionais subordinados a uma pessoa jurídica, não podem exercer tal posição como agente de tratamento de dados. Os empregados sempre atuam em nome e expressam a vontade de seu empregador, que tem a competência legal para estipular como se dá o tratamento de dados” (Ribeiro; Pallotta, 2021).
A Lei Geral de Proteção de Dados, ao conceituar o controlador e operador também como pessoas naturais, não buscou alcançar a figura do empregado, mas sim aqueles profissionais, a bem dizer autônomos, que tomam decisões em atividades de tratamento de dados, a exemplo de advogados, médicos, entre outros.
Caso contrário, assumiríamos uma interpretação descabida de empregados figurando no polo passivo de ações reparatórias de danos por violações à legislação de proteção de dados ou sofrendo sanções por parte da Autoridade Nacional de Proteção de Dados (ANPD), o que, na verdade, representa um risco inerente ao próprio negócio do empregador e que não poderia ser repassado à figura do obreiro pela ótica protecionista do Direito do Trabalho.
É necessário lembrar que o empregado nas atividades de tratamento de dados age em estrito cumprimento às determinações decorrentes do poder diretivo do empregador (JUNIOR; FILHO, 2020).
Nesse sentido dispõe o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais” publicado pela ANPD e que comunga do mesmo entendimento da guideline nº 07/2020 da União Europeia:
"Daí decorre que não são controladoras as pessoas naturais que atuam como profissionais subordinados a uma pessoa jurídica ou como membros de seus órgãos. É o caso de empregados, administradores, sócios, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta. Nesse sentido, a definição legal de controlador não deve ser entendida como uma norma de distribuição interna de competências e responsabilidades. De forma diversa, trata-se de comando legal que atribui obrigações específicas à pessoa jurídica, de modo que esta assume a responsabilidade pelos atos praticados por seus agentes e prepostos em face dos titulares e da ANPD".
Parafraseando a Dra. Selma Regina Carloto Martins Guedes Rossini sobre a temática:
“Gerentes, sócios e empregados do controlador são vinculados a este e quem responde é o controlador. Empregados e outras pessoas naturais vinculadas ao operador também atuarão em nome deste. Isto é, se um empregado, ou gestor, der causa a um vazamento, assim como um servidor, o responsável será o agente de tratamento, empresa ou entidade empregadora, restando àquele a possibilidade de sofrer sanções disciplinares, que lhe poderão ser impostas pelo empregador agente de tratamento, desde uma advertência até uma justa causa, dependendo da proporcionalidade, gravidade e reincidência, além da possibilidade de ação regressiva por dolo ou culpa, se houver prévio ajuste contratual, nos termos do artigo 462 da CLT, parágrafo 1º. Do mesmo modo responderá um servidor, nos termos da Constituição Federal de 1988, artigo 37, parágrafo 6º”.
Extrai-se, então, que o tratamento de dados por parte dos empregados do controlador representa, em última análise, o próprio empregador executando-as, sendo os trabalhadores apenas prepostos agindo em seu nome (Bomfim; Pinheiro, 2021).
Raciocínio diverso atribuiria ao empregado, enquanto pessoa física, o status de empregador, isso porque teria de compartilhar com o controlador os danos desencadeados, acentuando sobremaneira a vulnerabilidade econômica que já assola o polo mais frágil das relações trabalhistas.
Dessa forma, o empregado responsável por um vazamento de dados sofrerá as sanções disciplinares pertinentes ao contrato de trabalho, enquanto obreiro, e não aquelas trazidas pela LGPD, sob pena de assunção indevida dos riscos inerentes ao próprio negócio do empregador – que é controlador para todos os fins legais.
Isso porque a reponsabilidade entre operador e controlador é solidária e, portanto, contrária à sistemática trabalhista exposta no Art. 2º, caput, da CLT e em comunhão com os artigos 927 e 933 do Código Civil – que tratam da responsabilidade objetiva da empresa pelos atos de seus empregados e prepostos em virtude de danos decorrentes do exercício do trabalho.
Aliás, existem correntes doutrinárias que não enquadram o operador, enquanto agente externo, como subordinado ao controlador, mas sim como uma relação de coordenação entre eles (Bomfim; Pinheiro, 2021).
Em outras palavras, dentro da expertise do operador existe a liberdade de escolha para adotar melhores práticas de tratamento de dados – não necessariamente aquelas trazidas pelo controlador. Exatamente por isso um empregado não pode figurar como operador, pois ausente estaria a subordinação.
Logo, aquele que age sob o poder diretivo do empregador seria uma espécie híbrida de operador preposto ou subordinado, como aquele trazido pela regulamentação da União Europeia (Art. 4º GDPR) - afastando-se do conceito clássico de agente independente e externo (Barros, 2021).
Para essa nova categoria, fruto da hermenêutica da LGPD e CLT, a responsabilização deve ser limitada na esfera trabalhista e cível em decorrência da subordinação que rege o contrato de trabalho (Ribeiro; Pallotta, 2021).
CONCLUSÃO
Diante da análise técnica e jurídica apresentada, conclui-se que o enquadramento do empregado como operador de dados é incompatível com o ordenamento jurídico brasileiro. Tal impossibilidade fundamenta-se na subordinação jurídica inerente ao contrato de trabalho, que retira do indivíduo o poder decisório e a autonomia técnica necessária para figurar como agente de tratamento autônomo.
Dessa forma, a responsabilidade por eventuais incidentes ou descumprimentos da LGPD recai sobre o controlador (empregador), que assume o risco do negócio conforme o Art. 2º da CLT. Aos empregados, reserva-se a figura de prepostos que expressam a vontade da pessoa jurídica.
Consequentemente, a responsabilização do trabalhador limita-se à esfera trabalhista, por meio de sanções disciplinares ou ação regressiva, preservando a integridade do sistema protecionista do Direito do Trabalho e as diretrizes fixadas pela ANPD.
REFERÊNCIAS BIBLIOGRÁFICAS
BARROS, Gabriel Emidio de. Responsabilidade civil na LGPD e transmissão do risco da atividade empresária ao empregado. 2021. Trabalho de Conclusão de Curso (Bacharel em Direito) - Universidade Presbiteriana Mackenzie, [S. l.], 2021. Disponível em: https://dspace.mackenzie.br/items/75ff7fb6-027a-465a-8700-ad817bf1baa1. Acesso em: 15 set. 2025.
BOMFIM, Vólia; PINHEIRO, Iuri. Os sujeitos da Lei Geral de Proteção de Dados. Revista do Tribunal Regional do Trabalho 10ª Região, [S. l.], ano 2021, v. 25, n. 1, p. 229-239, 1 jan. 2021. Disponível em: https://juslaboris.tst.jus.br/bitstream/handle/20.500.12178/191874/2021_bomfim_volia_sujeitos_lgpd.pdf. Acesso em: 15 set. 2025.
BRASIL. Constituição da República Federativa do Brasil, de 5 de outubro de 1988. Constituição Federal. Brasília, 5 out. 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 12 jan. 2026.
GREGÓRIO, João Paulo; PROCÓPIO, Midiã Cristina. Vínculo de emprego entre operador e controlador de dados e a responsabilidade no âmbito da LGPD. Migalhas, 27 jul. 2021. Disponível em: https://www.migalhas.com.br/depeso/349109/vinculo-de-emprego-entre-operador-e-controlador-de-dados. Acesso em: 15 set. 2025.
RIBEIRO, Viviane; PALLOTTA, Maurício. Guia orientativo da da LGPD: o operador de dados subordinado. Consultor Jurídico, 13 jun. 2021. Disponível em: https://www.conjur.com.br/2021-jun-13/opiniao-guia-lgpd-operador-dados-subordinado/. Acesso em: 15 set. 2025.
ROSSINI, Selma Regina Carlota Martins Guedes. Descomplicando os agentes de tratamento com base na Lei Geral de Proteção de Dados. Migalhas, 17 dez. 2021. Disponível em: https://www.migalhas.com.br/coluna/migalha-trabalhista/356737/descomplicando-os-agentes-de-tratamento-com-base-na-lgpd. Acesso em: 15 set. 2025.
