Quem realiza o tratamento de dados pessoais em nome do controlador?

Os agentes de tratamento de dados pessoais têm seus papéis citados na LGPD – Lei Geral de Proteção de Dados, que os caracteriza em duas classes diferentes: “Controlador” e “Operador”. Mas quem são os agentes de tratamento de dados pessoais, afinal? De acordo com a Lei Geral de Proteção de Dados, o Controlador é quem tem o comando geral sobre: 

I – As finalidades para as quais os dados receberão tratamento e; 

II – As maneiras pelas quais os dados pessoais são e serão tratados, seja por si só, em conjunto ou em comum com outros agentes de tratamento de dados pessoais. 

Dessa forma, cabe ao controlador decidir os motivospelo tratamento e como serão as ações tomadas para este fim. Ele é o agente responsável por todo o ciclo de vida das informações sob seu tratamento, desde a coleta até a exclusão efetiva dos dados. 

Papéis e Responsabilidades Desses Agentes de Tratamento de Dados Pessoais 

A LGPD deixa evidente que o controlador é o principal decisor e possuidor do maior poder de controle sobre as finalidades, ações, processos e procedimentos utilizados para o tratamento de dados pessoais. Cabe ao controlador também as responsabilidades em relação aos dados em tratamento sob sua supervisão e de quaisquer violações da LGPD durante este processo. 

Além de representar uma figura central na proteção dos direitos dos titulares de dados pessoais, os agentes precisam observar a legislação para garantir que as ações de tratamento realizadas por outros agentes sejam conformes com o que é estabelecido pela lei. A LGPD também prevê que o controlador tem o dever de elaborar relatórios de impacto à proteção de dados pessoais e a nomeação de um encarregado pelo tratamento, este que irá atuar como uma ponte de comunicação entre o controlador e a Autoridade Nacional e entre controlador e os titulares dos dados pessoais sob seu tratamento. 

LGPD: Quem é o Operador e o que Deve ser Feito no Exercício de sua Função? 

De acordo com a LGPD, o agente de tratamento de dados pessoais denominado como operador é o indivíduo que realiza o tratamento em nome do controlador. Este profissional pode ser uma pessoa natural ou jurídica, pertencente aos setores público ou privado. Como o operador não tem o controle sobre os dados pessoais que trata e não pode modificar as finalidades ou permitir o uso do conjunto particular de dados sob um determinado tratamento, seu dever é apenas tratar tais dados de acordo com as denominações e finalidades estabelecidas pelo agente controlador. 

Mesmo que o exercício da função de operador se restrinja em atuar em nome de seu controlador e de acordo com o que é decidido por ele, é comum que lhe seja concedido um certo grau de discricionariedade e liberdade sobre o processo de tratamento dos dados. Sendo assim, o operador ganha o direito de exercer um determinado controle sobre as ações de tratamento e tem a permissão de decidir a maneira que os dados serão tratados. Isso condiz aos aspectos técnicos relativos à forma que um serviço de tratamento será prestado.  

Agentes de Tratamento de Dados Pessoais e suas Responsabilidades 

Para que os agentes de tratamento de dados pessoais possam exercer suas funções e direitos dentro da legalidade, a LGPD estabelece ao operador as seguintes responsabilidades: 

I – Obtenção de consentimento específico do titular, quando necessário; 

II – Informação e prestação de contas e pela garantia de portabilidade dos dados; 

III – Garantia de transparência no tratamento de dados baseado em legítimo interesse; 

IV – Manutenção de registro das operações de tratamento de dados pessoais, especialmente quando baseado no legítimo interesse; 

V – Reparação de danos patrimoniais, morais, individuais ou coletivos causados por violação à legislação de proteção de dados pessoais; 

VI – Comunicação à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. 

Assim, a lei consegue entregar ao operador a liberdade de utilizar seus conhecimentos técnicos e expertise nas ações de tratamento para que ele tenha o poder de decidir, de acordo com as normas da LGPD e em nome do operador, as operações que serão utilizadas no tratamento de dados pessoais para um determinado objetivo. 

Mesmo com suas responsabilidades estabelecidas e direitos garantidos pela LGPD, o operador não tem o poder de decidir aspectos relevantes sobre os dados, como quais as finalidades para cada tratamento, o que contém de informações pessoais nesses dados ou como eles serão utilizados. Este poder apenas é concedido ao controlador, pois de acordo com a Lei, cabe somente a ele a tomada de decisões sobre os pontos citados no parágrafo anterior. 

Conclusão 

Neste conteúdo, revelamos o papel dos agentes de tratamento de dados pessoais e suas respectivas responsabilidades. Contudo, antes de terminar, é importante ressaltar como a governança de dados é uma prática indispensável para trazer agilidade e segurança no atendimento às normas impostas pela nova lei.  

Quando implementada, a LGPD oferece uma série de benefícios, entre eles, o compliance das empresas. A Tenbu conta com um time robusto de especialistas em LGPD, governança de dados e compliance para assegurar que suas ações de conformidade sejam eficazes e se tornem práticas comuns nas rotinas da empresa. 

Para aprender mais sobre o assunto, sugerimos que acompanhe nosso Blog. E, para complementar as informações sobre os agentes de tratamento de dados pessoais e LGPD, sugerimos a leitura de dois conteúdos especiais: 

Tratamento de Dados na LGPD – Noções Básicas 

Princípios Gerais da LGPD e Exemplos de Boas Práticas 

Quem realiza o tratamento de dados em nome do controlador?

Quando o controlador é ou o operador podem fazer o tratamento dos dados pessoais?

Quem são os sujeitos envolvidos no tratamento de dados?

O que é controlador dos dados?