LGPD: Eu sou um operador ou um controlador de dados?

Uma das novidades da lei de proteção de dados brasileira foi a criação dos agentes responsáveis pelo tratamento dos dados: o operador e o controlador

Por: - 7 meses atrás

Crédito: Pexels

Uma das novidades da Lei Geral de Proteção de Dados (LGPD), legislação que estabelece regras para a coleta e uso de informações pessoais, foi a criação dos chamados agentes responsáveis pelo tratamento das informações. São eles: o controlador e o operador de dados. Mas qual relação deles com o universo do relacionamento com o cliente? Tudo.

A definição sobre o que é um controlador ou um operador estão presentes no artigo 5º da lei 13.709/2018, a LGPD. O texto define o controlador como uma pessoa física ou jurídica, de direito público (governo) ou privado (empresa), a quem compete às decisões referentes ao tratamento de dados pessoais. Já o operador também pode ser uma pessoa natural ou jurídica, de direito público ou privado, mas com uma diferença: ele realiza o tratamento de dados pessoais em nome do controlador.

Decisão

De fato, a diferença entre os controlador e operador está no poder de decisão. O operador pode realizar o tratamento de dado, mas isso ocorre a  partir das ordens de um controlador, que, por sua vez, apresenta-se como o “dono” ou responsável por essas informações. É o controlador que está no topo da cadeia de tratamento de dados.

Essa responsabilidade do controlador pode ser rapidamente percebida a partir de uma rápida observada na LGPD. A palavra “controlador” aparece simplesmente 62 vezes ao longo da lei de proteção de dados. Já o operador é citado em 11 vezes. Além disso, se for considerado a medida provisória 869/18, norma que cria a autoridade nacional de proteção de dados e que complementa LGPD, o controlador aparece outras cinco vezes contra apenas uma vez do operador.

Essa larga diferença de citações não é à toa. Isso está relacionado a diferença de responsabilidades de ambos – e até mesmo de um sobre o outro. O operador, por exemplo, deve basicamente obedecer a lei e as ordens do controlador. Uma empresa de call center (um exemplo de operador), contratada por um banco (controlador), somente poderá coletar informações de um correntista que dizem respeito ao negócio da instituição bancária. Em tese, bancos precisam apenas de dados como nome, endereço, entre outros dados pessoais, além de informações sobre as movimentações financeiras. Assim, não faria sentido ela coletar dados sobre geolocalização de uma pessoa. Isso, claro, hipoteticamente falando.

No caso do controlador, ele também deve obedecer à legislação e, claro, vigiar o trabalho do operador. Mas as obrigações do dono do dano incluem outras obrigações, tais como produzir um relatório de impacto à proteção de dados pessoais e que deverá ser entregue à Autoridade Nacional de Proteção de Dados. Além disso, a empresa também deverá nomear um encarregado para atuar como canal de comunicação entre o controlador e o governo, entre outras obrigações.

O relacionamento com o cliente

Mas, na prática, quem é o controlador e o operador dentro do universo do relacionamento com o cliente?

Especialistas ouvidos pela Consumidor Moderno afirmam que controladores serão as empresas de setores da economia que lidam diretamente com o consumidor. É o caso dos bancos, supermercados, seguradoras e outros. Já as empresas que terceirizam esse tipo de relacionamento, caso das empresas de contact centers, elas se apresentam como operadoras de dados.

“Essa é uma questão estratégica importante para o negócio de call center. O setor precisa definir muito bem o seu papel dentro da LGPD. É preciso que elas tenham um alinhamento bem definido sobre o que será vendido e, consequentemente, quais dados deverá ou não tratar. Mais do que isso, esse alinhamento deverá ser com toda a área comercial do controlador e com a política de proteção de dados de quem é dona dessa informação. Isso ajuda a entender a obrigação que cada empresa vai assumir”, explica Vitor Morais de Andrade, sócio do escritório LTSA e coordenador do curso de direito da PUC/SP.

A Associação Brasileira de Telesserviços (entidade que representa as empresas de contact center) já se posicionou sobre o tema: o setor será um operador de dados.

“Nós somos um setor especializado em consumidor. No entanto, a responsabilidade pela propriedade do dado é do nosso cliente (empresas). Ele é o verdadeiro dono das informações dos consumidores finais. Hoje, o nosso setor passa por uma transformação a lei, o que tem levado a uma de processos para que possamos cumprir o nosso papel sem erros”, afirma Topázio Neto, CEO da Flex Relacionamentos Inteligentes e diretor da ABT.

Danilo Doneda, advogado e co-autor do texto que deu origem a LGPD, concorda com Neto. Segundo ele, o call center terá um papel de operador. “O call center recebe informações dos clientes a partir dos seus clientes, que são as empresas. Ele trata dados a partir do interesse de um banco, por exemplo. A especialidade dele será a de executar a atividade a mando do controlador”, afirma.

Política de proteção de dados

Na avaliação de Vitor e outros especialistas, existem posturas que devem ser adotadas tanto pelas controladoras quanto pelas operadoras. Daqui para frente, elas precisarão ter um documento interno chamado de política de tratamento de dados. É a partir disso que uma empresa definirá o tipo de tratamento que será feito por cada companhia, seja ela um banco ou um contact center.

Esse documento, segundo Vítor, define até mesmo as diretrizes de como será feito o relacionamento entre um controlador e um operador. Isso ajuda a entender as expectativas das diferentes empresas sobre o tratamento de dados para que elas não sejam punidas em situações como o vazamento de dados.

“A revisão de processos sobre a coleta de dados é importante para qualquer empresa e não apenas para quem lida com o consumidor. Isso ajuda a entender o que poderá ou não ser feito quando o assunto é tratamento de dado”, conclui Topázio.