O artigo integra uma série de textos para analisar os conceitos listados no art. 5º da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e tem como objeto a definição do operador.

Conforme o inciso VII do art. 5º da Lei Geral de Proteção de Dados, o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

O operador é quem efetivamente realiza as operações de tratamento de dados pessoais, em nome do controlador. O operador não tem poder de decisão, mas apenas executa as decisões do controlador.

Em princípio, essa atribuição é do controlador, que pode realizá-la diretamente ou delegá-la ao operador. Assim, de acordo com a definição da LGPD, não há um controlador-operador como agente de tratamento, mas o desempenho das operações de tratamento dos dados pessoais pode ser:

(a) uma tarefa exclusiva do controlador;

(b) ou ser realizada pelo controlador e pelo operador (com a definição, pelo primeiro, das atividades do segundo);

(c) ou ser delegada integralmente pelo controlador ao operador.

Da mesma forma que o controlador, o operador pode ser pessoa natural ou jurídica, de direito público ou privado.

Por exemplo, uma empresa de telemarketing pode ser contratada por uma instituição financeira para o oferecimento de determinados produtos e serviços aos seus clientes. Nesse caso, a empresa de telemarketing será a operadora de dados pessoais (nome, telefone, e-mail, endereço, entre outros necessários para a finalidade pretendida) integrantes de bancos de dados da controladora (instituição financeira).

Apesar de ser subordinado ao controlador na realização do tratamento de dados pessoais, o operador é responsável por determinados atos, observados os seus limites de ação.

Em regra, o operador deve seguir as ordens dadas pelo controlador sobre o tratamento dos dados pessoais, de acordo com as normas de serviço e os princípios e regras da LGPD e de outros atos normativos que eventualmente incidirem sobre a atividade. É o controlador que estabelece os meios e os fins do tratamento de dados pessoais. Consequentemente, o operador não age por vontade própria, mas em estrito cumprimento aos comandos do controlador. Por isso, recomenda-se que haja o registro escrito dos comandos, a fim de delimitar as funções dos agentes de tratamento e apurar a responsabilidade de cada um na ocorrência eventual de incidente.

Ao realizar o tratamento de dados pessoais em nome do controlador, o operador tem a obrigação de cumprir as ordens e instruções dadas por aquele, além de observar as normas legais.

Desse modo, se o operador realizar as operações de tratamento dos dados pessoais de forma contrária à legislação, às ordens lícitas do controlador ou às normas internas da organização, é responsável pelos atos que praticar, de modo solidário com o controlador (art. 42, § 1º, I, da LGPD).

No Direito Comparado, o art. 4º do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia conceitua o “subcontratante” (processor) como sendo “uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes” (art. 4º.8).


Autor


Informações sobre o texto

Este texto foi publicado diretamente pelo autor. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi.

Comentários

0

Autorizo divulgar minha mensagem juntamente com meus dados de identificação.
A divulgação será por tempo indeterminado, mas eu poderei solicitar a remoção no futuro.
Concordo com a Política de Privacidade e a Política de Direitos e Responsabilidades do Jus.

Regras de uso