É exigido de todos os que lidam com informações de caráter pessoal um ajuste de foco para serem capazes de identificar operações de tratamento de dados pessoais que são delegadas a terceiros indiretamente, no bojo da contratação ou subcontratação de determinados serviços.

Atividades comumente terceirizadas podem terminar por delegar ao terceiro contratado a realização de tratamento de dados, sem que o contratante tenha clareza disso; mas a ignorância não o exime das responsabilidades próprias de um controlador de dados.

A LGPD institui dois agentes de tratamento de dados – controlador e operador. Figura como controlador aquele que tem o poder de decisão e determina os principais elementos de uma operação de tratamento de dados, como a finalidade e os meios de tratamento. Operador é aquele que realiza tratamento de dados por instruções do controlador, tendo o dever de não se afastar das instruções recebidas, mas, por outro lado, também o dever de não proceder a práticas que violem a LGPD, sob pena de responder solidariamente ao controlador, no tocante às infrações e a eventuais danos aos titulares de dados.

Uma empresa que contrata uma agência de recrutamento e seleção de pessoal, indicando apenas as características da vaga de trabalho, sem especificar sequer as qualidades requeridas ao candidato, pode entender que não tem responsabilidade sobre o modo como a agência realiza o tratamento dos dados destes candidatos. Afinal, foi delegada a tarefa integralmente, ficando a cargo da agência até mesmo a definição dos critérios para a seleção do candidato com o perfil adequado para a vaga. Entretanto, a empresa contratante ocupa nesta relação a posição jurídica de controladora, ao lado da agência contratada.

Outra situação que pode induzir ao mesmo equívoco é a do restaurante que terceiriza para uma plataforma digital a sua publicidade, o recebimento e a entrega dos pedidos dos clientes. Cuida o restaurante apenas da confecção do prato e a sua preparação para entrega. Pode haver situações em que o restaurante não tenha nem o nome do cliente, recebendo a solicitação da plataforma por código. Nestas circunstâncias, a delegação da atividade de tratamento de dados permanece oculta, o restaurante pode não perceber que o faz e com isso entender que não tem qualquer responsabilidade sobre o modo como a plataforma coleta e trata os dados pessoais dos clientes. No entanto, este restaurante figura como co-controlador nesta relação.

Situação análoga se passa com os condomínios. Administradoras e conservadoras têm dito que os síndicos têm manifestado o equivocado pensamento de que, uma vez contratadas estas empresas, os condomínios não têm qualquer responsabilidade no tocante ao tratamento de dados que elas realizam. Mas são também os condomínios controladores destes dados.

Observa-se que a confusão se instala nas hipóteses em que a relação jurídica estabelecida entre os envolvidos não é do tipo controlador-operador, mas sim quando são ambos controladores. 

A controladoria conjunta se estabelece quando há tomada de decisões em conjunto ou quando as partes tomam decisões que são convergentes, de modo que, na ausência de uma delas, a operação de tratamento de dados não aconteceria. É o que se passa nos exemplos acima e pode se repetir em vários outros.

A posição jurídica de controlador de dados não exige que o agente de tratamento tenha acesso direito aos dados. Nos casos citados, a finalidade das operações de tratamento é determinada pelo contratante (a empresa com uma vaga em aberto, o restaurante e o condomínio) – não fosse para atender a uma sua necessidade ou a um seu interesse, as operações de tratamento de dados referidas não aconteceriam.

Ressalta-se que a posição jurídica ocupada por cada agente de tratamento de dados (controlador ou operador) é definida para cada operação de tratamento, de modo que o mesmo agente pode ser controlador numa operação e operador na outra, numa mesma cadeia de subcontratações.

Evidencia-se a relevância de se exigir dos parceiros a adequação à LGPD, bem como da estipulação, em contrato, do modo como o parceiro de negócio deve realizar as operações de tratamento de dados pessoais, se pode subcontratar e em que condições.

A LGPD estabelece que qualquer agente ou pessoa que intervenha em alguma etapa do tratamento de dados obriga-se a garantir a segurança dos dados.