A Lei Geral de Proteção de Dados – LGPD (Lei Federal nº 13.709, de 14 de agosto de 2018) trouxe diversas inovações no ambiente nacional de privacidade e proteção de dados, impondo novas responsabilidades a todos aqueles que, de qualquer forma, tratam dados pessoais.
Como uma das formas para garantir os direitos dos titulares de dados pessoais, as legislações sobre proteção de dados, isto é, tanto nacionais quanto estrangeiras, definem agentes de tratamento, de acordo com sua posição e a autonomia no tratamento de dados pessoais. Trata-se de um verdadeiro meio para a imposição de atribuições e responsabilidades em face do cumprimento da legislação.
Nesse sentido, a LGPD considera como agentes de proteção de dados (i) o controlador; e (ii) o operador.
O Controlador
Esse sujeito é legalmente definido como aquele a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5º, inc. VI). Em outras palavras, trata-se daquele que decide sobre a forma e finalidade das operações que envolvem dados pessoais.
Essa caracterização depende muito do caso a caso. Não se pode simplesmente definir esse ou aquele agente como sendo genericamente e sempre controlador ou processador. Isso depende do procedimento e do contexto em que esse sujeito está inserido.
Imagine uma empresa de auditoria que trate dados pessoais. Ao realizar suas rotinas de recursos humanos, tais como admissões, processamento de folha de pagamento e rescisões, age na qualidade de controlador, visto que decide sobre a forma e finalidade das operações que são realizadas. Por sua vez, ao prestar os serviços de auditoria, ela atua como operador de dados pessoais, uma vez que atua de acordo com os objetivos definidos por seus clientes.
A esses sujeitos estão sujeitos a atribuições e obrigações maiores, tais como:
- Elaborar de relatório de impacto a proteção de dados;
- Comprovar a regularidade sobre a coleta do consentimento;
- Atender aos direitos dos titulares dos dados pessoais; e
- Realizar as comunicações legais em caso de incidentes de segurança.
Além disso, são eles também os principais responsáveis pela reparação quanto à eventuais atos lesivos ou em desconformidade com a legislação.
Operador:
A lei coloca o operador como sendo qualquer um que trata dados pessoais em nome de um controlador. Em outras palavras, o operador deve realizar as operações de tratamento de dados conforme as instruções e finalidades definidas pelo respectivo controlador de dados.
Um departamento de recursos humanos, por exemplo, pode compartilhar dados pessoais com a operadora de um plano de saúde, a fim de que seus empregados possam usufruir desse benefício. Nesse caso, quem define a finalidade do processamento é o departamento de RH (controlador), enquanto a operadora realizara as operações em seu nome (operador).
Inclusive, o operador será solidariamente responsável por eventuais danos aos titulares dos dados na hipótese de não seguir ou se desviar das instruções e finalidades definidas pelo controlador.
Suboperador:
Esse é um agente que foi elencado pelo Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais, sendo conceituado como aquele contratado pelo operador para o auxiliar no tratamento de dados pessoais.
Usando o exemplo da operadora de planos de saúde, suponha que essa contrate uma outra empresa externa para medir os riscos atuariais e, para tanto, seja necessário o compartilhamento de dados. Essa empresa é exclusivamente vinculada à operadora de planos de saúde, ainda que trate dados de uma empresa terceira (controladora), podendo ser colocada como uma suboperadora.
Em todos os casos, o controlador é o principal responsável por zelar pela integralidade da cadeia de tratamento de dados. Por esse motivo, é importante que se avalie o ambiente de segurança da informação de terceiros, assim como elaborar um contrato delimitando todas as atribuições, responsabilidades e limitações.
COMPARTILHAR:
