Este texto foi publicado no Jus no endereço https://jus.com.br/artigos/85759
Para ver outras publicações como esta, acesse https://jus.com.br

Glossário da Lei Geral de Proteção de Dados - 07) Operador

Glossário da Lei Geral de Proteção de Dados - 07) Operador

Publicado em . Elaborado em .

O artigo integra uma série de textos para analisar os conceitos listados no art. 5º da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e tem como objeto a definição do operador.

Conforme o inciso VII do art. 5º da Lei Geral de Proteção de Dados, o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

O operador é quem efetivamente realiza as operações de tratamento de dados pessoais, em nome do controlador. O operador não tem poder de decisão, mas apenas executa as decisões do controlador.

Em princípio, essa atribuição é do controlador, que pode realizá-la diretamente ou delegá-la ao operador. Assim, de acordo com a definição da LGPD, não há um controlador-operador como agente de tratamento, mas o desempenho das operações de tratamento dos dados pessoais pode ser:

(a) uma tarefa exclusiva do controlador;

(b) ou ser realizada pelo controlador e pelo operador (com a definição, pelo primeiro, das atividades do segundo);

(c) ou ser delegada integralmente pelo controlador ao operador.

Da mesma forma que o controlador, o operador pode ser pessoa natural ou jurídica, de direito público ou privado.

Por exemplo, uma empresa de telemarketing pode ser contratada por uma instituição financeira para o oferecimento de determinados produtos e serviços aos seus clientes. Nesse caso, a empresa de telemarketing será a operadora de dados pessoais (nome, telefone, e-mail, endereço, entre outros necessários para a finalidade pretendida) integrantes de bancos de dados da controladora (instituição financeira).

Apesar de ser subordinado ao controlador na realização do tratamento de dados pessoais, o operador é responsável por determinados atos, observados os seus limites de ação.

Em regra, o operador deve seguir as ordens dadas pelo controlador sobre o tratamento dos dados pessoais, de acordo com as normas de serviço e os princípios e regras da LGPD e de outros atos normativos que eventualmente incidirem sobre a atividade. É o controlador que estabelece os meios e os fins do tratamento de dados pessoais. Consequentemente, o operador não age por vontade própria, mas em estrito cumprimento aos comandos do controlador. Por isso, recomenda-se que haja o registro escrito dos comandos, a fim de delimitar as funções dos agentes de tratamento e apurar a responsabilidade de cada um na ocorrência eventual de incidente.

Ao realizar o tratamento de dados pessoais em nome do controlador, o operador tem a obrigação de cumprir as ordens e instruções dadas por aquele, além de observar as normas legais.

Desse modo, se o operador realizar as operações de tratamento dos dados pessoais de forma contrária à legislação, às ordens lícitas do controlador ou às normas internas da organização, é responsável pelos atos que praticar, de modo solidário com o controlador (art. 42, § 1º, I, da LGPD).

No Direito Comparado, o art. 4º do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia conceitua o “subcontratante” (processor) como sendo “uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes” (art. 4º.8).

Autor

Informações sobre o texto

Este texto foi publicado diretamente pelo autor. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi.