Como já analisamos em artigo anterior sobre a figura dos agentes de tratamento de dados na Administração Pública, um dos temas que mais preocupam pela grande confusão interpretativa é a definição de quem são os denominados controladores e operadores de dados, notadamente quando se está diante da figura do agente público.
A Lei Geral de Proteção de Dados, no seu artigo 5º, incisos VI e VII, considera controlador a "pessoa natural ou jurÃdica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais" e operador a "pessoa natural ou jurÃdica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador". De uma leitura menos atenta, não resta dúvida de que o enquadramento dessas duas figuras é simples, ou seja, a literalidade do artigo manifesta que serão ambos ou pessoas fÃsicas ou jurÃdicas, eleitas dentro do cenário de governança da instituição.
Porém, alguns órgãos da Administração Pública, recentemente, designaram em seus atos normativos os controladores de dados como pessoas fÃsicas vinculadas à sua alta administração (presidentes, vice-presidentes, entre outros) e como operadores servidores e/ou funcionários vinculados à sua estrutura administrativa. Isso é um verdadeiro equÃvoco, não apenas sob o prisma interpretativo e finalÃstico da Lei Geral de Proteção de Dados, mas, principalmente, em razão de teorias já consolidadas.
A consequência desse equivocado enquadramento não é meramente conceitual, mas possui reflexos diretos na responsabilidade patrimonial dos agentes públicos. É que o artigo 42 da Lei 13.709/18 foi claro ao prever que o "controlador ou o operador que, em razão do exercÃcio de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo". Isso quer dizer que, em sendo o controlador ou o operador a pessoa natural do agente, é esta que, por determinação legal e pelo exercÃcio dos direitos dos titulares, ficará obrigada a reparar o dano. É dizer, o enquadramento da pessoa natural como controladora ou operadora de dados sem a devida cautela pode causar grave prejuÃzo à esfera individual e patrimonial do agente público, que poderá se ver demandado diretamente em juÃzo pelo titular de dados, por decorrência lógica da própria responsabilização civil que titulariza.
O Regulamento Geral de Proteção de Dados da União Europeia (RGPD), por meio do Comitê Europeu para a Proteção de Dados (CEPD), já divulgou orientações exatamente sobre esse tema e foi enfático ao esclarecer que geralmente é a organização que é classificada como controladora, e não um indivÃduo dentro da mesma organização, justamente porque quem decide sobre as finalidades e os meios utilizados nos tratamentos de dados é a organização e, consequentemente, quem pode ser responsabilizado pelos prejuÃzos decorrentes dessas decisões é ela, e não seu agente.
Nesse sentido, com a devida vênia, é equivocada a interpretação de que, em órgãos da Administração Pública, seus agentes deveriam ser os respectivos controladores e operadores, pois, para além dos fundamentos já mencionados, tal interpretação também sepultaria a conhecida e tradicional teoria do órgão, pela qual a atuação da Administração não se confunde com seu agente, mas apenas é por ele externada. As pessoas fÃsicas que atuam nessas posições seriam apenas veÃculos de manifestação do Estado. A vontade/decisão, portanto, é do Estado, e não de seu agente. Daà derivam princÃpios comezinhos como o da impessoalidade, por exemplo.
Contudo, um dos pontos mais relevantes na definição dos controladores de dados na Administração Pública refere-se à estrutura de governança de dados em órgãos públicos, em razão de não possuÃrem personalidade jurÃdica própria e, portanto, não se enquadrarem no conceito do artigo 5, incisos VI e VII, da Lei 13.709/18.
É que consoante os critérios de organização administrativa e repartição constitucional, as pessoas jurÃdicas de direito público são integradas por União, estados, DF e municÃpios e, em sua Administração direta, repassam competências por desconcentração administrativa aos vários órgãos que dão execução ao feixe de atribuições que lhes foi repassado ou, em razão do munus constitucional exercido, tal feixe de atribuições é repassado aos poderes de Estado por determinação constitucional e legal.
Diante disso, alguns questionamentos são relevantes em face dos conceitos trazidos pela Lei Geral de Proteção de Dados: quem é efetivamente o controlador de dados, a pessoa jurÃdica de direito público ou poder ou órgão que representa o feixe de atribuições por determinação legal ou constitucional? Quem detém o "dever-poder" de decisão sobre o dado dos titulares? Poderia um órgão ou poder, sem personalidade jurÃdica, se enquadrar no conceito trazido no artigo 5, inciso VI, da Lei 13.709/18?
A questão, como boa parte dos pontos que envolvem a Lei Geral de Proteção de Dados, é — em meu sentir — de simples solução, contudo, demanda do intérprete uma visão finalÃstica dos institutos envolvidos e da própria estrutura normativa do texto legal.
Veja que o órgão ou poder não possui personalidade jurÃdica, pois integrante de uma das pessoas jurÃdicas de direito público que lhe dá existência ou, ainda, derivado de um munus constitucional exercido e, portanto, não poderia atuar como controlador de dados, pois lhe faltaria substrato formal de enquadramento no artigo 5, inciso VI, da LGPD. Nesse sentido, o controlador de dados é sempre, para fins de responsabilização, a pessoa jurÃdica de direito público.
Ocorre que, muito apesar dos órgãos e poderes não poderem, por ausência de substrato formal, ser enquadrados como controladores para fins da responsabilização da Lei Geral de Proteção de Dados, não se pode negar que o repasse de competências, seja por desconcentração administrativa ou como decorrência do exercÃcio do munus decorrente do próprio texto constitucional ou legal, faz com que tais órgãos e poderes assumam atribuições de controlador em inúmeros casos quando do exercÃcio dessas competências, como por exemplo: a manutenção do registro das operações de tratamento de dados pessoais que realizarem (artigo 37, caput); a elaboração do Relatório de Impacto de Proteção de Dados (artigo 5, inciso XVII); a indicação do encarregado de dados para tratamento de dados pessoais (artigo 23, inciso III, c/c artigo 41), o atendimento aos direitos do titular (artigo 18, c/c artigo 23, inciso I), o fornecimento de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada (artigo 20, parágrafo primeiro), entre outros.
É dizer, o exercÃcio delegado de decisão sobre o tratamento de dados pode (e deve) ocorrer pelos órgãos ou poderes públicos, pois decorrente de repasse de competência constitucional ou legal, porém, isso não os torna controladores de dados para fins de enquadramento na Lei Geral de Proteção de Dados, uma vez que, quando tal decisão ou tratamento ocasionar prejuÃzo ou lesão ao titular, responderá como controladora a pessoa jurÃdica de direito público, detentora de personalidade jurÃdica.
Em hipótese e exemplificativamente: o Tribunal de Justiça do Estado Paraná exercerá, pela consecução de suas competências constitucionais e legais, algumas atribuições de controlador; e não poderia ser diferente, pois goza de autonomia e independência em relação ao estado do Paraná e, em razão disso, possui decisão concreta sobre os dados que em seu âmbito de competência são tratados. Contudo, o exercÃcio dessas atribuições delegadas de controlador não enquadram o TJ-PR no conceito do artigo 5, inciso VI, da LGPD, porque lhe falta o substrato formal da personalidade jurÃdica própria. Nesse sentido, eventual responsabilização por falha ou irregularidade no tratamento do dado pelo Tribunal de Justiça, sujeitará o controlador, estado do Paraná, à responsabilização perante a Lei Geral de Proteção de Dados.
Em conclusão, os conceitos de "controlador" e "operador" são fundamentais para um adequado processo de proteção de dados e, seguramente, serão objeto de definição normativa pela Autoridade Nacional de Proteção de Dados (ANPD). Assim, enquanto não houver norma regulamentadora dos conceitos trazidos pela lei e de sua extensão, cabe a nós, intérpretes do Direito, dar à norma seu melhor sentido, que neste caso, parece ser a de enquadrar o controlador como a pessoa jurÃdica de direito público que dá suporte ao exercÃcio delegado das competências constitucionais e legais levadas a cabo pelos órgãos e poderes do Estado.
Autor: Rodrigo Pironti.
Fonte: Revista Consultor JurÃdico.