Quem são os agentes de Tratamento de Dados?

Com a entrada em vigor da Lei Geral de Proteção de Dados
Pessoais (LGPD), qual seja, a Lei nº 13.709, de 14 de agosto de 2018, tivemos um
marco inicial na proteção aos dados pessoais.

As informações pessoais hoje valem mais que petróleo,
portanto, dados pessoais se tornaram uma espécie de mercadoria e certamente de
grande valor econômico para as empresas.
 
Não é meramente uma chave para a identidade de uma pessoa,
quer seja pessoal ou financeira. Trata-se também da identificação que se pode
fazer com o tratamento dos dados para a obtenção sem autorização dos gostos,
compras, atividades educacionais, profissionais, desejos e tudo mais do titular
de dados.
 
Ou seja, saber como proteger as informações e a identidade de
uma pessoa se tornou uma obrigação imposta as empresas e dessa forma impera a
necessidade de se adequarem as especificações da lei pelo que passaram a estruturar
um sistema efetivo de proteção aos dados pessoais.
 
Pois bem.
 
Diante das questões pontuais da LGPD, temos personagens que
se destacam na lei e, dentre eles, os intitulados agentes de tratamento de
dados, sendo o CONTROLADOR e o OPERADOR, os quais podem ser pessoas naturais ou
jurídicas, de direito público ou privado. Ressalta-se que os agentes de
tratamento devem ser definidos a partir de seu caráter institucional, o que
significa dizer é que a lei considera como agente CONTROLADOR quando esta
pessoa atuar de acordo com os próprios interesses, com poder de decisão sobre
as finalidades e os elementos essenciais de tratamento e já o OPERADOR, este,
por sua vez, atuará de acordo com os interesses do CONTROLADOR.
 
A definição legal de controlador se encontra no art. 5º, VI,
da LGPD:

Pessoa natural ou jurídica,
de direito público ou privado, a quem competem as decisões referentes ao
tratamento de dados pessoais

Seguindo o tema, temos o operador que é o agente responsável
por realizar o tratamento de dados em nome do controlador e conforme a
finalidade por este delimitada. 

A definição legal se encontra no art. 5º, inciso
X da LGPD, senão vejamos:

Pessoa natural ou jurídica,
de direito público ou privado, que realiza o tratamento de dados pessoais em
nome do controlador.

Nota-se, até mesmo pelo que destaca o art. 39 da lei, que o operador
só poderá tratar os dados para a finalidade previamente estabelecida pelo
controlador. Portanto, essa é a distinção entre o controlador e operador, qual
seja, o poder de decisão: o operador só pode agir no limite das finalidades
determinadas pelo controlador.
 
Mas atenção: Um agente pode ser ao mesmo tempo CONTROLADOR e
OPERADOR, ou seja, tudo depende da atividade que está sendo exercida, do modus
operandi, do poder de decisão, do interesse econômico etc.
 
A identificação do controlador deve partir do conceito legal
e dos parâmetros das suas atividades, sempre considerando o contexto fático e
as circunstâncias relevantes do caso.
 
Um ponto importante a ser comentado é que não poderia ficar
do lado de fora é que embora  o
controlador tenha a principal responsabilidade e o operador atue somente em
nome dele, o art. 37 da LGPD determina que ambos partilham obrigações e, consequentemente,
a responsabilidade de manter o registro das operações de tratamento.
 
A responsabilidade pelas atividades de tratamento de dados
pessoais continua sendo do controlador ou do operador de dados, conforme
estabelece o art. 42 da LGPD.