Com a publicação da LGPD, sigla para Lei Geral de Proteção de Dados, muitas discussões vêm surgindo, especialmente sobre as obrigações de cada parte envolvida, como as responsabilidades dos agentes de tratamento, por exemplo.
Quando falamos sobre as responsabilidades dos agentes de tratamento as dúvidas surgem, principalmente, pela confusão entre os papéis de Controlador e do Operador. Por isso, neste artigo vamos entender mais sobre suas atribuições.
Quem são os agentes de tratamento?
A LGPD (Lei 13.709/2018), descreve as responsabilidades dos agentes de tratamento de dados pessoais em seu Artigos 41. Contudo, antes é preciso entender quem são essas figuras.
De acordo com o texto da lei, agentes de tratamento são definidos como duas figuras com funções distintas: o controlador e operador. O Artigo 5º da lei os descreve da seguinte maneira:
- VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamentos de dados pessoais;
- VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- IX – Agentes de tratamento: o controlador e o operador.
Com essa descrição é possível notar a primeira diferença entre esses dois agentes de tratamento, enquanto ao primeiro competem as decisões, ao segundo atribui-se o efetivo tratamento de dados.
Aqui, vale mencionar, ainda, a definição da lei para “tratamento de dados“, descrita em também em seu Artigo 5º:
“[…] toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”
Sendo assim, fica clara a diferenciação de responsabilidades dos agentes. Mas o que mais a lei diz sobre suas atribuições?
Quais são as responsabilidades dos agentes de tratamento?
Antes de partimos para as responsabilidades particulares de cada agente, cabe ressaltarmos a única diretriz da LGPD que é direcionada tanto ao controlador quanto ao operador.
Em seu Artigo 37º, a lei determina que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Responsabilidades do Controlador
Como já mencionamos anteriormente, o controlador é o agente a quem competem todas as decisões referentes ao tratamento de dados. Em síntese, ele é a parte beneficiada pelo tratamento de determinados dados.
Em um comparativo com o GDPR, sigla em inglês para Regulamento Geral Sobre Proteção de Dados, legislação sobre a privacidade e proteção de dados pessoas, o controlador equivale à figura do “responsável”.
Confirme explica a definição da LGPD, o controlador não precisa ser, necessariamente, uma empresa, mas pode ser uma pessoa natural designada pela empresa. Suas atribuições incluem as descritas a seguir.
- realizar o relatório de impacto a proteção de dados pessoais, documentação que contém a descrição dos processos de tratamento de dados que podem gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
- obter o consentimento específico do titular para compartilhar seus dados pessoais com outro controladores;
- indicar o profissional que será responsável por ser o Encarregado dos dados pessoais;
- deter o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na lei;
- informar ao titular casos de alterações sobre a finalidade do tratamento dos dados, destacando de forma específica o teor das alterações;
- disponibilizar ao titular dos dados suas informações de identidade e de contato;
- transparência quanto ao tratamento de dados pessoais baseado no legítimo interesse;
- manter pública a informação sobre os tipos de dados pessoais coletados, bem como a forma de utilização e procedimentos;
- obedecer o princípio de necessidade, isto é, solicitar dos titulares apenas os dados pessoais estritamente necessários para a finalidade proposta;
- reparar danos morais, patrimoniais, individuais ou coletivos, em caso de incidentes de segurança que cause danos ao titular;
- comunicar a autoridade nacional em casos de incidentes de segurança que acarretem riscos aos titulares;
- observar as boas práticas de governança previstas em lei.
Responsabilidades do Operador
Ao contrário do controlador, o operador possui menos atribuições, uma vez que se enquadra como um fornecedor do controlador.
Se compararmos mais uma vez a LGPD com o GDPR, temos a figura do “processador” como equivalente ao operador.
Portanto, ao controlador é atribuída a atividade de tratamento de dados propriamente dita, sem a possibilidade, porém, de alterar a finalidade do uso destes.
Desse modo, no caso da responsabilidade e do ressarcimento de danos, em caso de incidentes que acarretem riscos aos seus dados, o operador também está sujeito à reparação.
Por fim, o operador também não precisa ser, necessariamente, uma empresa, podendo também ser uma pessoa natural. Dentre suas atribuições podemos citar as descritas a seguir.
- manter registro das operações de tratamento de dados que realiza;
- realizar o tratamento de acordo com as instruções fornecidas pelo controlador;
- reparar possíveis danos patrimoniais e morais em casos de incidentes de segurança;
- responder pelos danos causados pelo tratamento quando descumprir as obrigações legais ou quando não seguir as instruções do controlador;
- manter os dados pessoais protegidos contra possíveis incidentes de segurança;
- observar as boas práticas de governança previstas em lei.
Dá para ser Controlador e Operador ao mesmo tempo?
Essa pode ser uma das principais dúvidas que envolvem o tema sobre agentes de tratamento. Afinal dá pra representar as duas figuras ao mesmo tempo?
Na verdade, a legislação não é muito clara sobre isso. Apesar da possibilidade existir, é preciso compreender que existirá uma dificuldade de diferenciação das atribuições de cada papel caso forem exercidas por uma só pessoa física, por exemplo.
De todo modo, é possível visualizar que, para o mesmo tratamento de um mesmo conjunto de dados, não é muito apropriado se colocar no papel do controlador e operador ao mesmo tempo.
De acordo com o ICO.UK, em sua interpretação sobre o GDPR, a exceção ocorreria nos casos em que o objeto de tratamento é diferente para controlador e operador, de forma que o os sistemas e processos possam distinguir os dados e relacioná-los ao agente correto.
Contudo, se não for possível realizar a distinção entre as responsabilidades dos agentes de tratamento, é provável que você seja tratado como controlador.