De acordo com o inciso VI do art. 5º da Lei Geral de Proteção de Dados, o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
O controlador é o destinatário e o responsável pelo tratamento de dados pessoais, com ou sem o consentimento do titular (de acordo com a base legal utilizada).
Trata-se da pessoa (natural ou jurídica, de direito público ou privado) que tem o poder de decisão sobre os dados pessoais, que define o que será feito com eles, isto é, como serão tratados, qual a finalidade do tratamento, com quem serão compartilhados, como serão armazenados, entre outros aspectos.
Assim, compete ao controlador tomar as decisões relativas ao tratamento de dados pessoais.
Em uma pessoa jurídica, o controlador não é necessariamente uma pessoa natural que ocupa determinado cargo, mas sim a própria pessoa jurídica.
As principais atribuições do controlador são:
(a) A obtenção dos dados pessoais e a realização das demais atividades de tratamento, com fundamento em uma das bases legais (arts. 7º e 11 da LGPD);
(b) Cumprir os direitos dos titulares dos dados pessoais (art. 18 da LGPD);
(c) Providenciar a elaboração do relatório de impacto à proteção de dados pessoais (arts. 5º, XVII, 10, § 3º, e 38, da LGPD);
(d) A indicação do encarregado pelo tratamento de dados pessoais (arts. 5º, VIII, e 41, da LGPD);
(e) A responsabilidade pelos danos causados aos titulares em virtude do exercício de atividade de tratamento de dados pessoais (arts. 42 e 44, parágrafo único, da LGPD);
(f) A manutenção de registro das operações de tratamento de dados pessoais que realizar, especialmente quando forem baseadas no seu legítimo interesse (art. 37 da LGPD);
(g) Elaborar regras internas de boas práticas e de governança no tratamento dos dados pessoais (art. 50 da LGPD);
(h) A prestação de informações à Autoridade Nacional de Proteção de Dados e ao titular sobre a ocorrência de incidente de segurança que possa causar risco ou dano relevante aos titulares (art. 48 da LGPD);
(i) A comprovação da prestação do consentimento pelo titular para o tratamento de dados pessoais (art. 8º, § 2º, da LGPD).
Em suma, o controlador define (ou tem o poder de decidir) como os dados são tratados (de acordo com as regras legais) e, por isso, assume o tratamento de dados pessoais perante o titular, motivo pelo qual deve acompanhar todo o ciclo de vida dos dados (da coleta ao descarte adequado), com a manutenção de seu sigilo, deve prestar contas às autoridades e aos titulares, além informar (ao titular e à ANPD) as providências adotadas para a preservação dos dados quando ocorrer um incidente.
O poder de decisão sobre os dados pessoais traz ao controlador, como consequência, o dever de garantir a transparência no tratamento e de assegurar o cumprimento dos direitos dos titulares durante todo o ciclo de vida dos dados coletados, direta ou indiretamente (por meio do operador).
Por isso, o controlador tem os deveres de se identificar (art. 9º, III) e fornecer os seus dados de contato (art. 9º, IV), de prestar informações aos titulares de modo claro, adequado e ostensivo (art. 9º, caput), sobre a finalidade específica do tratamento (art. 9º, I), sua forma e duração do tratamento, respeitados os segredos comerciais e industriais (art. 9º, II), sobre eventual uso compartilhado dos dados e a finalidade (art. 9º, V), as responsabilidades dos agentes que realizarão o tratamento (art. 9º, VI) e esclarecer quais são os direitos do titular (art. 9º, VII, todos da LGPD).
No Direito Comparado, o art. 4º do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia conceitua o “responsável pelo tratamento” (controller) como “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro” (art. 4º.7).