Comentário do Gabarito – LGPD e o papel da empresa de computação em nuvem

Tema central: A questão exige o conhecimento preciso sobre os papéis previstos na Lei Geral de Proteção de Dados Pessoais (LGPD), especialmente nos serviços de TI terceirizados pelo Poder Judiciário, em que há processamento de dados pessoais sensíveis.

Legislação aplicável:
• LGPD, Art. 5º, VI e VII:
"VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;"
"VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;"

Exemplo prático: Imagine que o CNJ decide todas as regras de uso, período de guarda, compartilhamento e eliminação dos dados na PDPJ-Br. A empresa XYZ apenas executa as ordens técnicas, hospeda e processa, sem tomar decisões próprias quanto ao destino dos dados.

Análise da alternativa correta:
A) operador. De acordo com o art. 5º, VII da LGPD, “operador” é quem realiza tratamento dos dados em nome do controlador. No cenário dado, a empresa XYZ apenas hospeda e processa dados conforme as determinações do CNJ (controlador). Não toma decisões sobre os dados; apenas executa.

Análise das alternativas incorretas:

B) controlador: Incorreta. O controlador é quem define as finalidades e os meios do tratamento de dados. Aqui, essa atribuição cabe ao CNJ, não à empresa XYZ.

C) suboperador: Incorreta. Apesar deste termo ser discutido na doutrina, a LGPD não o reconhece expressamente. O agente que atua sob ordens de outro operador, e não diretamente do controlador, não está previsto expressamente.

D) agente de tratamento: Genérico demais. Tanto o controlador quanto o operador são agentes de tratamento (art. 5º, IX), mas a questão pede o papel específico da empresa.

E) encarregado: O encarregado – ou DPO – é a pessoa indicada pelo controlador para atuar como canal de comunicação entre as partes envolvidas. Não é o caso da empresa XYZ.

Pegadinhas e dicas: Atenção aos termos “executar em nome do controlador” (operador) X “tomar decisões sobre o tratamento” (controlador). Leia o contexto contratual com cuidado em enunciados semelhantes.

Doutrina: Danilo Doneda destaca que “o operador atua sempre sob ordens do controlador” (“Proteção de Dados Pessoais...”). Laura Schertel Mendes reforça a ausência de autonomia decisória do operador.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

LGPD -

Art. 5º:

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

De certo modo, poderia ser agente de tratamento.

IX - agentes de tratamento: o controlador e o operador;

Art. 5º Para os fins desta Lei, considera-se:

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

atuar no limite das determinações do controlador de dados pessoais

logo, o operador