Quem são os agentes de tratamento de dados segundo a LGPD?

Com a iminente exigência de adequação à LGPD, um dos pontos os quais ganham mais evidência é o cuidado com os dados pessoais. Para isso, no entanto, entra em papel os chamados agentes de tratamento de dados.

Os agentes de tratamento de dados são duas entidades que compõem a estrutura funcional da LGPD e são parte essencial para o tratamento correto dos dados pessoais, com responsabilidades distintas nesse processo.

O que e quem são os agentes de tratamento de dados?

Os Agentes de tratamento de dados (Controlador + Operador) são conhecidos como as entidades participantes do processo, que realizam o tratamento de dados pessoais, sendo que o Operador realiza o tratamento de dados pessoais em nome do Controlador.

Sendo assim, são duas entidades, conforme citados anteriormente, e um terceiro ainda que, apesar de não ser chamado de “agente de tratamento” pela Lei, oferece auxílio na comunicação durante todos os processos.

Para ficar mais claro, confira abaixo a definição para cada uma dessas figuras:

• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
• Encarregado pela Proteção de Dados: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Apesar dessas três figuras possuírem sua respectiva importância, o último pode ser exigido de acordo com especificações da empresa.

Dentre elas, temos pontos como a natureza, porte da instituição e também o volume de informações os quais ela trata.

As duas primeiras figuras, no entanto, são cruciais no processo, uma vez que são as entidades que lidam diretamente com o tratamento de dados e classificadas como agentes de tratamento.

Sem a definição de um Controlador e um Operador, além de estar fora do que é previsto pela LGPD, a empresa fica suscetível à sanções e a equipe se torna incapaz de efetuar algum tipo de procedimento com os dados dos clientes.

O que é e como deve ser feito o tratamento de dados conforme a LGPD?

A primeiro momento, devemos entender que o tratamento de dados pessoais é toda e qualquer ação que é feita com os dados pessoais.

Sendo assim, temos as seguintes possibilidades e explicações para cada uma das ações:

1. acesso: utilização ou manipulação de dados;
2. armazenamento: manter depositado um dado;
3. arquivamento: efeito de manter registrado uma informação mesmo caso tenha pedido validade ou esgotado a vigência;
4. avaliação: calcular valor sobre um ou mais dados;
5. classificação: mapeamento de dados e organização dos mesmos seguindo critérios técnicos e de segurança da informação;
6. coleta: captação dos dados para alguma finalidade;
7. comunicação: transmissão de dados relevantes a políticas de tratamentos;
8. controle: poder de regular, determinar ou então monitorar os tratamentos;
9. difusão: efeito da divulgação, propagação ou multiplicação de informações;
10. distribuição: ação de obter dados por meio de um critério estabelecido;
11. eliminação: exclusão ou destruição de um dado do depósito;
12. extração: copiar ou retirar dados do repositório o qual ele estava inicialmente/anteriormente;
13. modificação: alterar um dado;
14. processamento: efeito de processar os dados;
15. produção: formação de bens e serviços por meio do tratamento de dados;
16. recepção: quando se recebe informações após feita uma transmissão;
17. reprodução: copiar um dado antecedente captado;
18. transferência: mudar dados de um armazenamento para outro;
19. transmissão: movimentação de dados entre dois pontos por meio dos mais variados dispositivos; e
20. utilização: o aproveitamento de fato dos dados.

Estas são, de acordo com o glossário da LGPD oferecido digitalmente pela Serpro, todos os tratamentos que um dado pode receber.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

De qual maneira a LGPD prescreve que sejam feitas essas ações?

Uma vez dito quais são os tratamentos, cabe ainda entender como todos estes procedimentos devem ser realizados de acordo com a LGPD.

Agora, para entender isso, devemos ter em mente que existem ao todo cerca de 10 princípios que a LGPD prevê para o tratamento dos dados pessoais.

Eles são:

1. entender, e explicar ao titular dos dados, qual é a finalidade que faz imprescindível o tratamento dos seus respectivos dados;
2. a justificativa deve possuir relação com o tipo de dado pessoal coletado pela empresa;
3. analisar a necessidade que os dados pessoais apresentam para com as respectivas finalidades, fazendo uso apenas de dados pessoais e informações estritamente necessárias;
4. o titular dos dados deve possuir livre acesso para consultar todos os dados pessoais que a empresa possui a seu respeito;
5. a qualidade dos dados pessoais deve ser assegurada, ou seja, ela deve ser sempre verdadeira e atualizada;
6. deve existir transparência entre a instituição e os respectivos clientes através de todos os meios de comunicação;
7. a segurança é um ponto crucial, sendo responsabilidade das empresas buscar meios, tecnologias e métodos de proteger os dados pessoais de ataques cibernéticos ou acessos não autorizados;
8. é necessário seguir o princípio de prevenção objetiva, adotando medidas para evitar danos aos dados pessoais causados pelos tratamentos;
9. o uso dos dados pessoais nunca deve ser feito a fim de gerar discriminação ou gerar abusos contra os titulares;
10. as empresas devem se responsabilizar e prestar contas.

Relatório de Impacto à Proteção de dados

Para este último ponto, cabe ressaltar que as instituições devem possuir provas e evidências sobre os procedimentos feitos.

E uma boa forma de realizar isto é através do Relatório de Impacto à Proteção de Dados, previsto pela LGPD.

Ele é um documento de extrema importância para empresas que realizam o tratamento de dados pessoais.

Afinal, através deste relatório é possível analisar riscos que os direitos e liberdades dos clientes de uma empresa possuem.

Sendo assim, caso o usuário esteja ciente dos riscos e forneça o consentimento, a empresa possui este respaldo em casos de ataques e consequentes vazamentos de dados pessoais.

Quais as responsabilidades e deveres dos agentes de tratamento?

Por fim, cabe ressaltar que a definição dos agentes de tratamento de dados pessoais é essencial para a realização adequada do tratamento de dados conforme as diretrizes da LGPD.

Isso ocorre pois cada um dos agentes possui diferentes responsabilidades quanto ao tratamento dos dados pessoais. A seguir, confira os papéis dos agentes de tratamento nesse processo:

Papel do Controlador

• criar o Relatório de Impacto à Privacidade;
• indicar o profissional que responderá ao cargo de Encarregado;
• obter o consentimento do titular para o tratamento de seus dados;
• reparar danos em casos de incidentes de segurança que gerem prejuízos ao titular;
• obedecer e fiscalizar as boas práticas de governança previstas na Lei;
• responder por danos aos dados pessoais dos titulares;
• manter registro das operações de tratamento de dados pessoais.

Papel do Operador

• realizar as atividades de tratamento de dados;
• registrar as operações feitas e a manutenção de cada uma;
• obedecer as instruções do controlador quanto ao tratamento dos dados pessoais;
• responder por possíveis danos causados ao titular em consequência do tratamento de dados pessoais;
• reparar danos que gerem prejuízos ao titular;
• manter a segurança dos dados pessoais contra possíveis incidentes;
• seguir as boas práticas de governança previstas na Lei.

Se os agentes de tratamento de dados arcarem corretamente com suas responsabilidades, as operações de tratamento estarão em conformidade com a LGPD e os riscos quanto a possíveis acidentes de seguranças serão diminuídos.