O Controlador de dados na Administração Pública e a ausência de personalidade jurídica dos Órgãos e Poderes de Estado

Planejamento

Como já analisamos em artigo anterior sobre a figura dos Agentes de Tratamento de dados na Administração Pública, um dos temas que mais preocupa pela grande confusão interpretativa é a definição de quem são os denominados controladores e operadores de dados, notadamente quando se está diante da figura do agente público.

A Lei Geral de Proteção de Dados, no seu artigo 5º, incisos VI e VII, considera controlador a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” e operador a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. De uma leitura menos atenta, não resta dúvida de que o enquadramento destas duas figuras é simples, ou seja, a literalidade do artigo manifesta que serão ambos ou pessoas físicas ou jurídicas, eleitas dentro do cenário de governança da Instituição.

Porém, alguns órgãos da Administração Pública, recentemente, designaram em seus atos normativos os Controladores de Dados, como pessoas físicas vinculadas à sua Alta Administração (Presidentes, Vice-Presidentes dentre outros) e como Operadores, servidores e/ou funcionários vinculados à sua estrutura administrativa. Isso é, um verdadeiro equívoco, não apenas sob o prisma interpretativo e finalístico da Lei Geral de Proteção de Dados, mas principalmente, em razão de teorias já consolidadas.

A consequência desse enquadramento equivocado não é meramente conceitual, mas possui reflexos diretos na responsabilidade patrimonial dos agentes públicos. É que o artigo 42 da Lei 13.709/2018 foi claro ao prever que o “controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.” Isso quer dizer que, em sendo o controlador ou o operador a pessoa natural do agente, é esta que, por determinação legal e pelo exercício dos direitos dos titulares ficará obrigada a reparar o dano. É dizer, o enquadramento da pessoa natural como controladora ou operadora de dados sem a devida cautela, pode causar grave prejuízo a esfera individual e patrimonial do agente público, que poderá se ver demandado diretamente em juízo pelo titular de dados, por decorrência lógica da própria responsabilização civil que titulariza.

O Regulamento Geral de Proteção de Dados da União Europeia (RGPD), por meio do Comitê Europeu para a Proteção de Dados (CEPD), já divulgou orientações exatamente sobre esse tema e foi enfático ao esclarecer que geralmente é a organização que é classificada como controladora e não um indivíduo dentro da mesma organização, justamente porque quem decide sobre as finalidades e os meios utilizados nos tratamentos de dados é a organização e consequentemente, quem pode ser responsabilizado pelos prejuízos decorrentes dessas decisões é ela e não seu agente.

Você também pode gostar

Neste sentido, com a devida vênia, é equivocada a interpretação de que, em órgãos da Administração Pública, seus agentes deveriam ser os respectivos controladores e operadores, pois para além dos fundamentos já mencionados, tal interpretação também sepultaria a conhecida e tradicional teoria do órgão, pela qual a atuação da Administração não se confunde com seu agente, mas apenas é por ele externada. As pessoas físicas que atuam nestas posições seriam apenas veículos de manifestação do Estado. A vontade/decisão, portanto, é do Estado e não de seu agente. Daí derivam princípios comezinhos como o da impessoalidade, por exemplo.

Contudo, um dos pontos mais relevantes na definição dos controladores de dados na Administração Pública refere-se à estrutura de governança de dados em órgãos públicos, em razão de não possuírem personalidade jurídica própria e, portanto, não se enquadrarem no conceito do artigo 5, incisos VI e VII da Lei 13.709/2018.

É que consoante os critérios de organização administrativa e repartição constitucional, as pessoas jurídicas de direito público são integradas pela União, Estados, DF e Municípios e, em sua Administração Direta, repassam competências por desconcentração administrativa aos vários órgãos que dão execução ao feixe de atribuições que lhes foi repassado ou, em razão do munus constitucional exercido, tal feixe de atribuições é repassado aos Poderes de Estado por determinação constitucional e legal.

Diante disso, alguns questionamentos são relevantes em face dos conceitos trazidos pela Lei Geral de Proteção de Dados: quem é efetivamente o controlador de dados, a pessoa jurídica de direito público ou Poder ou órgão que representa o feixe de atribuições por determinação legal ou constitucional? Quem detém o “dever-poder” de decisão sobre o dado dos titulares? Poderia um Órgão ou Poder, sem personalidade jurídica, se enquadrar no conceito trazido no artigo 5º, inciso VI da Lei 13.709/2018?

A questão, como boa parte dos pontos que envolvem a Lei Geral de Proteção de Dados é – em meu sentir – de simples solução, contudo, demanda do intérprete uma visão finalística dos institutos envolvidos e da própria estrutura normativa do texto legal.

Veja que o Órgão ou Poder não possui personalidade jurídica, pois integrante de uma das pessoas jurídicas de direito público que lhe dá existência ou, ainda, derivado de um munus constitucional exercido e, portanto, não poderia atuar como controlador de dados, pois lhe faltaria substrato formal de enquadramento no artigo 5º, inciso VI da LGPD. Neste sentido, o controlador de dados é sempre, para fins de responsabilização, a pessoa jurídica de Direito Público.

Ocorre que, muito apesar dos Órgão e Poderes não poderem, por ausência de substrato formal, ser enquadrados como controladores para fins da responsabilização da Lei Geral de Proteção de Dados, não se pode negar que o repasse de competências, seja por desconcentração administrativa ou como decorrência do exercício do munus decorrente do próprio texto constitucional ou legal, faz com que tais órgãos e poderes assumam atribuições de controlador em inúmeros casos quando do exercício dessas competências, como por exemplo:  a manutenção do registro das operações de tratamento de dados pessoais que realizarem (artigo 37, caput); a elaboração do Relatório de Impacto de Proteção de Dados (artigo 5º, inciso XVII); a indicação do encarregado de dados para tratamento de dados pessoais (artigo 23, inciso III c/c artigo 41), o atendimento aos direitos do titular (Artigo 18 c/c artigo 23 inciso I), o fornecimento de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada (Artigo 20, § 1º) dentre outros.

É dizer, o exercício delegado de decisão sobre o tratamento de dados pode (e deve) ocorrer pelos órgãos ou poderes públicos, pois decorrente de repasse de competência constitucional ou legal, porém, isso não os torna controladores de dados para fins de enquadramento na Lei Geral de Proteção de Dados, uma vez que quando tal decisão ou tratamento ocasionar prejuízo ou lesão ao titular, responderá como controlador a pessoa jurídica de Direito Público, detentora de personalidade jurídica.

Em hipótese e exemplificativamente: o Tribunal de Justiça do Estado Paraná exercerá, pela consecução de suas competências constitucionais e legais, algumas atribuições de controlador; e não poderia ser diferente, pois goza de autonomia e independência em relação ao Estado do Paraná e, em razão disso, possui decisão concreta sobre os dados que em seu âmbito de competência são tratados. Contudo, o exercício dessas atribuições delegadas de controlador não enquadra o TJ/PR no conceito do artigo 5º, inciso VI da LGPD, porque lhe falta o substrato formal da personalidade jurídica própria. Neste sentido, eventual responsabilização por falha ou irregularidade no tratamento do dado pelo Tribunal de Justiça, sujeitará o controlador, Estado do Paraná, à responsabilização perante a Lei Geral de Proteção de Dados.

Em conclusão, os conceitos de “controlador” e “operador” são fundamentais para um adequado processo de proteção de dados e, seguramente, serão objeto de definição normativa pela Autoridade Nacional de Proteção de Dados (ANPD). Assim, enquanto não houver norma regulamentadora dos conceitos trazidos pela Lei e de sua extensão, cabe a nós, intérpretes do Direito, dar à norma seu melhor sentido, que neste caso, parece ser a de enquadrar o controlador como a pessoa jurídica de Direito Público que dá suporte ao exercício delegado das competências constitucionais e legais levadas a cabo pelos Órgãos e Poderes do Estado.

Continua depois da publicidade
Seja o primeiro a comentar
Utilize sua conta no Facebook ou Google para comentar Google

Assine nossa newsletter e junte-se aos nossos mais de 100 mil leitores

Clique aqui para assinar gratuitamente

Ao informar seus dados, você concorda com nossa política de privacidade

Você também pode gostar

Continua depois da publicidade

Colunas & Autores

Conheça todos os autores
Conversar com o suporte Zênite