Primeiramente, cabe a conceituação da figura do controlador. Nos termos do artigo 5º, inciso VI, da LGPD, o controlador de dados pode ser tanto pessoa física ou jurídica, desde que tenha a função de tomar as principais decisões acerca da administração dos dados pessoais fornecidos a ela, bem como por definir a finalidade do tratamento.
Assim, para efeitos práticos, controlador é quem “toma as principais decisões a respeito do armazenamento, eliminação ou do compartilhamento de informações que integram um banco de dados pessoais que é gerido no âmbito da organização”1. A identificação do controlador é de suma importância, tendo em vista que será em face deste, principalmente, que serão exercidos os direitos dos titulares dos dados.
No caso do controlador ser uma pessoa jurídica, isto é, a empresa deter um banco de dados pessoais e realizar a gestão deste, determinando a forma de armazenamento, eliminação e, até mesmo, compartilhamento com outras partes, os sócios seriam indiretamente controladores dos dados pessoais inseridos no banco de dados?
Entende-se que não. Os principais motivos que levam a tal entendimento são (i) personalidade jurídica da pessoa jurídica e (ii) tomada de decisão não subordinada.
No que tange ao primeiro motivo, em decorrência do fato da sociedade empresária ter personalidade jurídica, conforme o artigo 52, do Código Civil, aquela tem capacidade de adquirir direitos e contrair deveres perante a sociedade. Desta forma, é a pessoa jurídica quem assume a responsabilidade pelos atos praticados por terceiros em seu nome.
Ademais, sendo a pessoa jurídica controladora dos dados, os indivíduos subordinados à instituição, como sócios e administradores, não possuem autonomia para decidir a forma de administração dos dados pessoais.
Diante do exposto, ainda que não haja jurisprudência neste sentido, pode-se concluir que a função de controlador de dados, apesar de ter uma conceituação legal na LGPD, deve ser avaliada no contexto das atividades desempenhadas pela empresa na execução do contrato celebrado2. Além disso, os sócios e administradores das empresas controladoras de dados não podem ser considerados indiretamente controladores apenas pelo fato de ocuparem uma posição na administração da sociedade, uma vez que a responsabilidade pelas ações referente ao tratamento de dados recai sobre a pessoa jurídica.
SABRINA SANTOS MACEDO
