Controlador e operador na LGPD: qual é o papel da sua empresa?
Controlador ou operador: qual o papel da sua empresa na LGPD? Veja a diferença, quem responde por multas e um teste prático para identificar o seu caso.
Renato comanda uma software house de 12 pessoas e acabou de fechar o maior contrato do ano, com uma rede de farmácias. Na semana seguinte, chegou o questionário de proteção de dados do cliente com uma pergunta logo no topo: "sua empresa atua como controladora ou operadora dos dados pessoais?". A reunião interna travou ali.
Se essa cena parece familiar, você não está sozinho. A dúvida sobre controlador e operador na LGPD aparece na primeira cláusula de contrato, no primeiro questionário de fornecedor ou no primeiro passo da adequação. E errar a resposta tem preço: cada papel carrega obrigações e responsabilidades diferentes perante a Lei Geral de Proteção de Dados.
Neste guia, você vai entender o que faz um controlador, o que faz um operador, como descobrir o papel da sua empresa em cada situação e quem responde quando algo dá errado. Com um detalhe que quase ninguém conta: a maioria das pequenas empresas de serviço é os dois ao mesmo tempo.
O que são agentes de tratamento na LGPD?
Agentes de tratamento são as duas figuras que respondem pelo uso de dados pessoais na LGPD: o controlador, que decide como e por que os dados são tratados, e o operador, que realiza o tratamento em nome do controlador. A definição está no artigo 5º, IX, da Lei 13.709/2018.
Antes de seguir, vale traduzir o termo central. Tratamento é todo uso de um dado pessoal: coletar, armazenar, consultar, compartilhar, corrigir e excluir. Se a sua empresa guarda nome, CPF ou e-mail de alguém, ela trata dados pessoais e ocupa um desses papéis.
Duas confusões comuns merecem correção imediata. Primeiro: o encarregado de dados, o DPO, não é agente de tratamento. Ele é o canal de comunicação entre a empresa, os titulares e a ANPD, a Autoridade Nacional de Proteção de Dados.
Segundo: seus funcionários também não são agentes. Eles atuam sob as ordens da empresa, e quem responde perante a lei é a empresa.
Essas distinções vêm do Guia de Agentes de Tratamento da própria ANPD, que vamos usar como referência ao longo deste artigo.
O que é o controlador na LGPD?
O controlador é a pessoa física ou jurídica a quem competem as decisões sobre o tratamento de dados pessoais, segundo o artigo 5º, VI, da LGPD. Em uma frase: controlador é quem decide o porquê e o como. Ele define quais dados coletar, para qual finalidade, por quanto tempo guardar e com quem compartilhar.
No dia a dia de uma pequena empresa, isso é mais concreto do que parece:
- A loja que cria um cadastro de clientes para enviar promoções é controladora desses dados.
- A clínica que mantém prontuários dos pacientes é controladora dessas informações.
- O e-commerce que coleta e-mails para a newsletter é controlador dessa lista.
Em todos os casos, a empresa decidiu coletar, escolheu a finalidade e colhe o benefício. Por isso, as principais obrigações da LGPD caem sobre ela: definir as bases legais de cada tratamento, informar o titular com transparência, atender pedidos de acesso e exclusão e responder pela segurança dos dados.
Um detalhe que aparece nas dúvidas frequentes: o controlador pode ser singular, quando decide sozinho, ou conjunto, quando duas ou mais empresas tomam as decisões em comum sobre o mesmo tratamento. Uma franquia e o franqueador que compartilham decisões sobre o cadastro de clientes, por exemplo, podem ser controladores conjuntos.
O que é o operador na LGPD?
O operador é a pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador, conforme o artigo 5º, VII, da LGPD. Ele não decide a finalidade nem escolhe quais dados coletar. Executa o serviço contratado seguindo as instruções de quem decidiu.
Os exemplos clássicos são empresas de serviço:
- O escritório de contabilidade que processa a folha de pagamento dos clientes
- A agência de marketing que dispara e-mails usando a base do cliente
- O sistema de gestão ou a software house que armazena dados dos clientes do contratante
- A gráfica que imprime mala direta com nomes e endereços fornecidos pela loja
A regra de ouro do operador está no artigo 39: tratar os dados conforme as instruções do controlador. Se o operador contrata outra empresa para ajudar na execução, um data center, por exemplo, esse terceiro funciona como suboperador e segue a mesma lógica.
Existe, porém, um limite que muda tudo. Se o operador começa a usar os dados para fins próprios, ele deixa de ser operador e vira controlador daquela operação, com todas as responsabilidades do papel.
Foi o que aconteceu com Camila, dona de uma agência de marketing digital, em um cenário ilustrativo bem comum. Contratada para gerenciar as campanhas de uma rede de academias, ela aproveitou a base de alunos para divulgar a própria agência. Nesse momento, Camila definiu uma nova finalidade por conta própria. Virou controladora daquele disparo, sem contrato, sem base legal e sem saber do risco que assumiu.
Qual a diferença entre controlador e operador?
A diferença entre controlador e operador está no poder de decisão: o controlador decide as finalidades e os elementos essenciais do tratamento de dados; o operador executa o tratamento em nome do controlador, seguindo as instruções dele. A mesma empresa pode ser controladora em uma operação e operadora em outra.
A tabela resume os dois papéis:
| Pergunta | Controlador | Operador |
|---|---|---|
| Decide a finalidade do tratamento? | Sim, define por que e como | Não, segue instruções |
| Trata dados em nome de quem? | Em nome próprio | Em nome do controlador |
| Define a base legal? | Sim | Não, usa a definida pelo controlador |
| Atende os pedidos dos titulares? | Sim, é o responsável direto | Apoia o controlador quando acionado |
| Mantém registro das operações? | Sim | Sim |
| Pode ser sancionado pela ANPD? | Sim | Sim |
Na dúvida sobre um fluxo específico, aplique o teste das três perguntas:
- Quem decidiu que esses dados seriam coletados?
- Quem define para que eles servem?
- O tratamento acontece em nome próprio ou em nome de outra empresa?
Se a sua empresa toma as decisões, ela é controladora daquele fluxo. Se executa por conta e ordem de outra, é operadora. Repare que a resposta vale para o fluxo analisado, não para a empresa inteira. Essa é a chave da próxima seção.
Controlador e operador ao mesmo tempo: o caso mais comum
Aqui está o ponto que os materiais sobre o tema raramente explicam: o papel de controlador ou operador é definido por operação de tratamento, não pelo CNPJ. É a posição da ANPD no guia oficial sobre agentes de tratamento. A mesma empresa acumula papéis diferentes em fluxos diferentes, e isso é normal.
O exemplo ilustrativo de Fábio mostra como funciona. O escritório de contabilidade dele tem 9 funcionários e atende 80 empresas. Sobre os dados dos próprios funcionários e dos contatos comerciais, o escritório decide tudo: é controlador.
Já na folha de pagamento que processa para cada cliente, quem decide é o cliente; o escritório executa. Nesse fluxo, é operador.
O mesmo raciocínio vale para a software house do Renato, do início do artigo. Ela é controladora dos dados do próprio time e dos leads que capta no site. E é operadora dos dados que os clientes da rede de farmácias inserem no sistema que ela desenvolve.
A consequência prática é direta: você só descobre seus papéis olhando fluxo a fluxo. Liste de onde os dados entram, quem decidiu coletar e em nome de quem cada tratamento acontece. O mapeamento automatizado de dados do DataSafu faz exatamente esse trabalho de forma guiada: você identifica cada fluxo, a finalidade e o papel da empresa, sem montar planilhas do zero.
Quem responde por multas e danos: controlador ou operador?
A resposta curta: os dois podem responder. A LGPD trata disso no artigo 42, e a lógica é menos complicada do que o juridiquês sugere.
A regra geral diz que o agente de tratamento que causar dano ao titular, por violar a lei, é obrigado a reparar o dano. A partir daí, entram as regras de responsabilidade solidária, aquelas situações em que mais de uma empresa responde pela mesma conta:
- O operador responde junto com o controlador quando descumpre a LGPD ou quando ignora as instruções lícitas do controlador. Nesse segundo caso, a lei o equipara a controlador.
- Controladores diretamente envolvidos no mesmo tratamento danoso também respondem solidariamente. Traduzindo: terceirizar a execução não transfere a responsabilidade.
- Quem pagar a conta pode cobrar de volta: o artigo 42 garante o direito de regresso contra os demais responsáveis, na medida da participação de cada um.
O artigo 43 completa o quadro com as saídas legítimas. O agente não responde se provar que não realizou o tratamento, que não houve violação à lei ou que o dano veio de culpa exclusiva do titular ou de terceiro.
E isso não é teoria para empresa grande. A primeira sanção da história da ANPD, em julho de 2023, atingiu uma microempresa, a Telekall Infoservice, multada em R$14.400 na condição de controladora por tratar dados sem base legal. O papel que sua empresa ocupa em cada fluxo define exatamente o que a ANPD pode cobrar de você.
É também por isso que contratos importam tanto. A divisão de responsabilidades entre controlador e operador se organiza na cláusula de proteção de dados, com instruções documentadas, limites de uso e deveres de segurança. Se a sua empresa presta serviços e ainda não revisou os contratos, o nosso guia de LGPD para prestadores de serviço mostra o que essa cláusula precisa conter.
O que cada papel precisa fazer na adequação
Identificou seus papéis? Então dá para transformar a teoria em lista de tarefas. Algumas obrigações valem para os dois agentes de tratamento: manter o registro das operações (artigo 37), adotar medidas de segurança (artigo 46) e agir rápido em caso de incidente.
Além disso, cada papel tem o seu checklist.
Se a sua empresa é controladora no fluxo:
- Mapeie os dados e defina a base legal de cada finalidade
- Publique uma política de privacidade transparente
- Estruture um canal para atender os pedidos dos titulares
- Formalize contratos com cláusula de proteção de dados para cada operador
- Indique um encarregado de dados ou documente a dispensa de pequeno porte
Se a sua empresa é operadora no fluxo:
- Trate os dados só dentro das instruções documentadas pelo controlador
- Nunca use os dados do cliente para fins próprios
- Mantenha segurança compatível com o que o contrato exige
- Avise o controlador imediatamente sobre qualquer incidente
- Registre as operações que executa em nome de cada cliente
Uma boa notícia para quem é pequeno: a Resolução CD/ANPD nº 2/2022 flexibiliza obrigações para agentes de tratamento de pequeno porte, sejam controladores ou operadores. O registro de operações pode ser simplificado e a indicação do encarregado é dispensada, desde que a empresa mantenha um canal de comunicação com os titulares e não faça tratamento de alto risco.
Perguntas frequentes sobre controlador e operador
Controlador e operador podem ser a mesma pessoa?
Na mesma operação de tratamento, não: os papéis se excluem, porque um decide e o outro executa em nome de quem decidiu. Mas a mesma empresa pode ser controladora em um fluxo e operadora em outro. É o caso típico de contabilidades, agências e empresas de tecnologia.
DPO é o controlador?
Não. O DPO, ou encarregado de dados, é a pessoa indicada para fazer a comunicação entre a empresa, os titulares e a ANPD. Ele não é agente de tratamento e não se confunde com o controlador, que é a empresa que decide sobre os dados.
Os funcionários do controlador são operadores?
Não. Funcionários e colaboradores atuam sob o poder de direção da empresa e fazem parte dela. Quem responde perante a LGPD é a empresa, não cada pessoa do time. Ainda assim, treinar a equipe é obrigação prática de qualquer agente de tratamento.
O que é um controlador singular na LGPD?
É a empresa que toma sozinha as decisões sobre determinado tratamento de dados. Quando duas ou mais empresas decidem juntas sobre finalidades e elementos essenciais do mesmo tratamento, a ANPD as classifica como controladores conjuntos.
Operador precisa indicar encarregado de dados?
A obrigação do artigo 41 recai sobre o controlador. Para o operador, a indicação é facultativa, mas a ANPD a recomenda como boa prática de governança. Operadores de pequeno porte entram na mesma regra de dispensa da Resolução 2/2022.
MEI que presta serviço é sempre operador?
Não necessariamente. O papel depende de cada operação: se o MEI decide quais dados coletar e para quê, é controlador; se executa em nome do cliente, seguindo instruções, é operador naquele fluxo. O teste das três perguntas resolve a maioria dos casos.
Controlador ou operador: o próximo passo é olhar para os seus fluxos
Recapitulando o essencial sobre controlador e operador na LGPD:
- Controlador decide, operador executa: o primeiro define finalidade e elementos do tratamento; o segundo trabalha em nome do primeiro
- O papel vale por operação, não por CNPJ: a maioria das empresas de serviço é controladora e operadora ao mesmo tempo, em fluxos diferentes
- A responsabilidade pode ser dos dois: o operador responde solidariamente quando descumpre a lei ou as instruções; o controlador não se exime terceirizando
- Contrato e registro organizam tudo: cláusula de proteção de dados, instruções documentadas e registro das operações são a base da segurança jurídica
Saber se a sua empresa é controladora ou operadora deixa de ser pegadinha de questionário quando você enxerga seus fluxos de dados com clareza. E esse é justamente o primeiro passo de qualquer adequação bem feita.
Quer descobrir os papéis da sua empresa sem se perder em planilhas? Faça o diagnóstico da sua empresa no DataSafu: em poucos minutos, você vê quais dados trata, em quais fluxos atua como controladora ou operadora e o que falta para ficar em dia com a LGPD.