A menos de 6 meses da implementação da Lei Geral de Proteção de Dados (LGPD), muitas dúvidas ainda persistem. Saber quem é o controlador ou operador é fundamental, mas pode ser um trabalho “complexo” em algumas situações.
Agentes de tratamento
A LGPD define apenas dois agentes de tratamento: O Controlador e o Operador. Veja abaixo as responsabilidades de cada um, conforme indicado no Artigo 5o:
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Ou seja, é esta parte do processo de tratamento que define:
- Quais dados serão coletados e por qual meio
- Qual é a finalidade do tratamento
- Políticas de retenção de dados
- Quais serão os receptores deste dado, caso existam
Como pode ver, o controlador é aquela parte que vai determinar o escopo do tratamento de dados. É a parte que se beneficia daquele tratamento especificado.
É ele nomeará um representante (encarregado/DPO) para fazer a interface com a ANPD e titulares, entre outras atribuições.
Para saber mais sobre o papel do Encarregado/DPO, você pode consultar nesta reportagem da Época Negócios. Para obter ajuda com serviços especializados de DPO-as-a-Service, clique aqui e consulte-nos!
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Esta parte do processo é escolhida pelo Controlador para executar uma certa atividade, ou parte da atividade principal, ou prestar determinado serviço que entrega ou suporta a necessidade de tratamento do controlador.
É muito importante determinar quem é o controlador e quem é o operador pelas seguintes razões:
- Em caso de vazamento, o controlador responde pelos erros e omissões do operador;
- O controlador deverá ser o agente a notificar a ANPD em caso de violações de dados;
- O controlador deverá ser o agente a notificar os titulares impactados em caso de violações de dados;
- O controlador deverá ser o agente a receber solicitações de titulares e tratá-las até sua finalização;
- Ao controlador poderá caber o desenvolvimento e manutenção de Relatório de Impacto à Proteção de Dados Pessoais;
- O operador deverá notificar o controlador de incidentes de segurança e violação de dados, mas não interagir diretamente com titulares.
Veja também:
- Multi-controladores e “joint controllers”. Artigo do IAPP descreve uma visão do tema frente à GDPR (Europeia).
- Operadores Versus Controladores na GDPR. A ICO elaborou um guia com normas da GDPR (Europeia), que ajuda a determinar quem assume cada papel.
Posso ser um controlador e um operador ao mesmo tempo?
Apesar de não haver muito material sobre o tema na LGPD, ser um controlador e operador simultaneamente poderia dificultar seriamente a identificação de quem é o responsável por determinar como o dado é processado e o tipo de processamento necessário, bem como criar dificuldades na hora de definir as funções e responsabilidades administrativas de cada parte.
Assim, como há mais informações na GDPR – até mesmo pelo tempo decorrido da implantação – irei referenciá-la para comentar este tópico. O ICO.UK, em sua interpretação, indica que não seria apropriado que você seja um controlador e um operador, ao mesmo tempo, para um mesmo conjunto de dados, para o mesmo tratamento.
A exceção seria quando o objetivo do tratamento é distinto entre as duas partes (Controladores e Operadores) e que os sistemas e processos possam distinguir os dados e relacioná-los ao agente correto. Pela GDPR, se esta distinção não pode ser feita, é provável que você seja tratado como controlador.
Importante ressaltar que este pensamento segue a GDPR (Europeia) e não a LGPD, mas que conceitualmente podemos gerar algumas inferências.
Importância dos contratos
O artigo do site Migalhas – “LGPD – Responsabilidade dos agentes de tratamento pela eliminação de dados pessoais compartilhados”, expõe a afirmação das autoras: “Há de se reconhecer também a grande dificuldade a ser enfrentada pelo controlador para, de fato, fazer valer o requerimento do titular para exclusão integral dos dados perante um agente. Isso porque nos atuais modelos de negócios as dinâmicas de compartilhamento de dados muitas vezes não comportam obrigações contratuais prevendo auditorias e checagens in loco. Isso sem contar a limitação técnica do controlador para gerenciar o cumprimento da determinação de exclusão perante uma empresa terceira, sob a qual ela não possui ingerência.”
Seguindo a GDPR também neste quesito, é mandatório ter um contrato (e/ou um “Data Processing Agreement”) entre controlador e operador descrevendo as responsabilidades de cada parte, o escopo da prestação dos serviços, normas de confidencialidade, normas técnicas e procedimentos organizacionais/operacionais para garantir a adequação à regulamentação, regras de sub-contratação (sub-processor), procedimentos de auditoria e ações ao final de um contrato.
Sob a ótica da LGPD, “o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei”.
Ou seja, se o operador processa dados em descumprimento à LGPD ou ao acordado com o controlador, o operador passa a responder como controlador daquele dado.
A existência de um contrato, de um adendo de privacidade ou de um DPA é uma garantia entre as partes e ajuda a reduzir os riscos para cada agente.
Ah, e não confunda DPA (Data Processing Agreement) com DPO (Data Protection Officer). 😉
Links úteis:
- Capacite-se com nossos cursos – Curso Oficial EXIN PDPE – Privacy and Data Protection Essentials
- Leia nosso artigo: “A LGPD está chegando e ela pode ser boa para seu negócio!”
- Leia nosso artigo: ”Líderes de Projeto e a LGPD. Por que preciso me capacitar?”
Nossos serviços
- Cursos de LGPD in-company e abertos ao público em geral.
- Consultoria no mapeamento de fluxos de dados e processos de coleta
- Gestão de Projetos de TI, inclusive de adequação à LGPD
- Desenvolvimento e Adequação de sistemas
- Consultoria na elaboração de processos, práticas e posturas para gestão da informação
- Contamos com parceiros jurídicos na área de Direito Digital
- Solicite um contato personalizado em https://www.machertecnologia.com.br/contact/
* Este material não tem como objetivo oferecer consultoria, recomendação, direção ou aconselhamento de qualquer tipo. Não oferece quaisquer garantias de acurácia, completude ou conformidade. Para uma análise especializada e adequada à sua necessidade, por favor entre em contato.
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO
- Consultoria e projetos de adequação
- Treinamento EXIN PDPE
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- ACADEMIA LGPD: Treinamentos "learning pills" de conscientização para a Lei Geral de Proteção de Dados e Cibersegurança.
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
- Revisão ou auditoria pontual em projetos e processos
- Terceirização de serviços e times
DPO AS A SERVICE
- Encarregado como Serviço (DPO-as-a-Service)
- Centro de Serviços Compartilhados para a LGPD e times de suporte
- Operação Assistida para seu DPO interno - Assessoria e Consultoria para a LGPD
- Data Mapping
- Mapeamento de Processos
- Gestão de Projetos e Riscos
- Serviços de Cybersecurity
- Revisão de Cláusulas Contratuais para a LGPD
- DPIA, DPA, ROPA
- Suporte à GDPR