Agentes de Tratamento de Dados

Capítulo 4 – Agentes de Tratamento de Dados

A Lei Geral de Proteção de Dados (LGPD) estabelece claramente os papéis dos agentes de tratamento de dados, definindo-os como "controladores" e "operadores". O controlador é aquele que exerce controle geral sobre as finalidades para as quais os dados pessoais são tratados, seja individualmente ou em conjunto com outros agentes. Em outras palavras, o controlador é responsável por decidir o "porquê" e o "como" dos processos de tratamento de dados, abrangendo todo o ciclo de vida dos dados, desde a coleta até o descarte.

Controlador

Como o principal tomador de decisões e detentor do maior poder de controle sobre os procedimentos e finalidades do uso dos dados pessoais, o controlador também carrega as maiores responsabilidades em relação a esses dados. Ele é responsável por garantir a conformidade com a LGPD, implementar medidas de segurança adequadas, obter o consentimento dos titulares dos dados quando necessário, fornecer informações claras sobre o tratamento de dados, bem como lidar com qualquer violação que possa ocorrer durante o processo de tratamento.

Essas responsabilidades destacam a importância do papel do controlador na proteção e privacidade dos dados pessoais. O controlador deve agir de forma diligente e proativa para garantir a conformidade com a lei, promover a segurança dos dados e respeitar os direitos dos titulares. O não cumprimento dessas responsabilidades pode acarretar consequências legais e danos à reputação da organização.

Portanto, a figura do controlador é essencial na gestão adequada dos dados pessoais, sendo o principal responsável pela tomada de decisões e pela salvaguarda da privacidade dos titulares. A LGPD reforça a importância desse papel e estabelece diretrizes claras para o tratamento de dados pessoais, visando garantir a proteção dos direitos dos indivíduos em um ambiente digital cada vez mais complexo e conectado.

Principais deveres do controlador

Elaboração do relatório de impacto de dados pessoais: O controlador é responsável por realizar a avaliação dos impactos à privacidade e elaborar um relatório que identifique os riscos e medidas de mitigação relacionados ao tratamento de dados pessoais.

Nomeação do Encarregado pelo tratamento de dados pessoais: O controlador deve designar um Encarregado, também conhecido como Data Protection Officer (DPO), que atuará como ponto de contato entre o controlador, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados. O Encarregado é responsável por orientar e aconselhar o controlador sobre as obrigações legais de proteção de dados.

Obtenção do consentimento específico do titular: Quando necessário, o controlador deve obter o consentimento específico do titular dos dados, informando claramente sobre a finalidade do tratamento e garantindo que o consentimento seja livre, informado e inequívoco.

Informação e prestação de contas: O controlador deve fornecer informações claras e acessíveis sobre suas práticas de tratamento de dados, incluindo as finalidades, bases legais, categorias de dados coletados e os direitos dos titulares. Além disso, é responsável por prestar contas sobre o cumprimento das obrigações estabelecidas na LGPD.

Garantia de portabilidade dos dados: O controlador deve possibilitar aos titulares dos dados a portabilidade de seus dados pessoais, permitindo que sejam transferidos para outro serviço ou produto, em um formato estruturado e de uso corrente.

Garantia de transparência no tratamento de dados baseado em legítimo interesse: Caso o tratamento de dados seja baseado no legítimo interesse do controlador, este deve assegurar a transparência em relação aos critérios utilizados para essa base legal, bem como sobre os direitos dos titulares de dados.

Reparação de danos causados por violação à legislação de proteção de dados: O controlador é responsável por reparar os danos patrimoniais, morais, individuais ou coletivos causados por violações à legislação de proteção de dados pessoais, bem como adotar medidas para evitar futuras violações.

Manutenção de registro das operações de tratamento de dados pessoais: O controlador deve manter registros das atividades de tratamento de dados pessoais, especialmente quando o tratamento for baseado no legítimo interesse. Esses registros devem incluir informações sobre as finalidades, categorias de dados, períodos de retenção e demais informações exigidas pela LGPD.

Comunicação à Autoridade Nacional e ao titular sobre incidentes de segurança: O controlador deve comunicar imediatamente à Autoridade Nacional e ao titular dos dados a ocorrência de qualquer incidente de segurança que possa representar risco ou dano relevante aos titulares.

O cumprimento desses deveres é essencial para que o controlador assegure a conformidade com a LGPD e a proteção dos direitos dos titulares de dados pessoais. O controle adequado e responsável do tratamento de dados é fundamental para promover a privacidade e a segurança das informações pessoais.

Operador

O operador é o agente de tratamento que realiza o tratamento de dados em nome do controlador, atuando de acordo com as instruções fornecidas pelo controlador. Ele executa as atividades de tratamento de dados em nome do controlador, sem tomar decisões autônomas em relação aos dados pessoais.

O operador possui responsabilidades específicas para garantir a segurança e proteção dos dados pessoais durante o processamento. Essas responsabilidades incluem implementar medidas técnicas e organizacionais adequadas para proteger os dados, manter a confidencialidade das informações, realizar o tratamento dentro dos limites estabelecidos pelo controlador e auxiliar o controlador em suas obrigações legais.

É importante ressaltar que o operador deve atuar apenas de acordo com as instruções do controlador e não pode utilizar os dados pessoais para finalidades próprias, a menos que seja autorizado pelo controlador ou por disposição legal. O operador também deve notificar prontamente o controlador caso ocorra qualquer violação de dados ou incidente de segurança.

Assi sendo, o operador desempenha um papel crucial no tratamento de dados pessoais em nome do controlador. Ele deve agir de forma responsável e em conformidade com as instruções fornecidas pelo controlador, garantindo a segurança e proteção dos dados pessoais durante o processo de tratamento. A colaboração adequada entre o controlador e o operador é essencial para o cumprimento dos requisitos legais e a proteção dos direitos dos titulares dos dados.

Encarregado

O encarregado é a pessoa designada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). A LGPD permite que a ANPD estabeleça normas complementares sobre a definição e atribuições do encarregado, inclusive, em casos específicos, dispensando sua indicação de acordo com a natureza, porte ou volume de operações de tratamento de dados.

Funções do Encarregado

Orientar servidores, funcionários ou colaboradores: O encarregado tem a responsabilidade de fornecer orientações e diretrizes aos envolvidos no tratamento de dados pessoais, assegurando a conformidade com a LGPD e boas práticas de proteção de dados.

Receber comunicações da Autoridade Nacional e adotar providências: O encarregado deve receber e analisar as comunicações enviadas pela Autoridade Nacional de Proteção de Dados e tomar as providências necessárias para garantir o cumprimento das obrigações legais relacionadas ao tratamento de dados pessoais.

Aceitar reclamações e comunicações dos titulares: O encarregado tem o papel de receber e responder às reclamações e comunicações dos titulares de dados, prestando esclarecimentos e adotando as providências necessárias para atender aos direitos dos titulares, conforme previsto na LGPD.

Executar outras atribuições determinadas pelo controlador: O encarregado deve executar as demais atribuições designadas pelo controlador, que podem incluir a realização de treinamentos, auditorias internas, revisões de políticas e procedimentos, entre outras atividades relacionadas à proteção de dados pessoais.

O encarregado desempenha um papel fundamental na garantia da conformidade com a LGPD e na promoção da proteção de dados pessoais. Sua atuação contribui para a conscientização e o engajamento de toda a organização na adoção de medidas adequadas de segurança e privacidade, assegurando o respeito aos direitos dos titulares de dados.

Conclusão

Os papéis de controlador, operador e encarregado são essenciais para o cumprimento da Lei Geral de Proteção de Dados (LGPD) e garantia da proteção dos dados pessoais. O controlador é responsável por definir as finalidades e as formas de tratamento dos dados, assumindo a responsabilidade geral pelo ciclo de vida dos dados. O operador atua em nome do controlador, realizando o tratamento de dados de acordo com suas instruções. Já o encarregado desempenha um papel de intermediação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), atuando como um canal de comunicação e orientação.

A correta atribuição e compreensão desses papéis são fundamentais para garantir a conformidade com a LGPD e promover a proteção dos direitos dos titulares de dados. O controlador deve exercer um papel proativo na definição e implementação de políticas e medidas de segurança e privacidade, além de fornecer as informações necessárias aos titulares sobre o tratamento de seus dados. O operador deve atuar de forma responsável e em conformidade com as instruções do controlador, garantindo a segurança e a confidencialidade dos dados. Por sua vez, o encarregado desempenha um papel de apoio e orientação, auxiliando o controlador e os titulares dos dados na compreensão e no exercício de seus direitos.

Ao trabalharem em conjunto, o controlador, o operador e o encarregado estabelecem um ambiente de conformidade e proteção de dados, promovendo a transparência, a responsabilidade e a confiança. Esses papéis são fundamentais para assegurar que o tratamento de dados pessoais seja realizado de maneira ética, segura e em conformidade com a legislação vigente, contribuindo para a proteção dos direitos dos indivíduos e o fortalecimento da cultura de privacidade.

Atividade Avaliativa

Responda e envie para avaliacao.cegesp@gmail.com

Coloque o título do e-mail assim: Avaliação da LGPD – nome da aula - nome d@ cursista

1) Questão de Verdadeiro ou Falso (Verdadeiro/Falso): O controlador de dados é responsável por decidir o "porquê" e o "como" dos processos de tratamento de dados, abrangendo todo o ciclo de vida dos dados, desde a coleta até o descarte.

2) Questão de Múltipla Escolha:  Qual é a diferença entre o controlador e o operador de dados conforme definido pela LGPD?

(a) O controlador decide sobre as finalidades e a forma de tratamento dos dados, enquanto o operador executa as instruções do controlador.

(b) O operador é responsável por obter o consentimento dos titulares, enquanto o controlador implementa medidas de segurança.

(c) O controlador é responsável pela segurança dos dados, enquanto o operador decide sobre as finalidades do tratamento.

(d) Nenhuma das alternativas listadas acima.

3) Questão Dissertativa:  Explique a importância de os agentes de tratamento de dados, como controladores e operadores, cumprirem as responsabilidades estabelecidas pela LGPD. Como a definição clara dos papéis contribui para a proteção dos dados pessoais dos titulares?

4) Questão de Associação:  Relacione cada descrição com o termo correto:

I. Controlador (        )

II. Operador (        )

a. Responsável por decidir sobre as finalidades e a forma de tratamento dos dados.

b. Encarregado de executar o tratamento de dados em nome do controlador, seguindo suas instruções.