Os agentes de tratamento de dados pessoais têm seus papéis citados na LGPD – Lei Geral de Proteção de Dados, que os caracteriza em duas classes diferentes: “Controlador” e “Operador”. Mas quem são os agentes de tratamento de dados pessoais, afinal? De acordo com a Lei Geral de Proteção de Dados, o Controlador é quem tem o comando geral sobre:
I – As finalidades para as quais os dados receberão tratamento e;
II – As maneiras pelas quais os dados pessoais são e serão tratados, seja por si só, em conjunto ou em comum com outros agentes de tratamento de dados pessoais.
Dessa forma, cabe ao controlador decidir os motivospelo tratamento e como serão as ações tomadas para este fim. Ele é o agente responsável por todo o ciclo de vida das informações sob seu tratamento, desde a coleta até a exclusão efetiva dos dados.
Papéis e Responsabilidades Desses Agentes de Tratamento de Dados Pessoais
A LGPD deixa evidente que o controlador é o principal decisor e possuidor do maior poder de controle sobre as finalidades, ações, processos e procedimentos utilizados para o tratamento de dados pessoais. Cabe ao controlador também as responsabilidades em relação aos dados em tratamento sob sua supervisão e de quaisquer violações da LGPD durante este processo.
Além de representar uma figura central na proteção dos direitos dos titulares de dados pessoais, os agentes precisam observar a legislação para garantir que as ações de tratamento realizadas por outros agentes sejam conformes com o que é estabelecido pela lei. A LGPD também prevê que o controlador tem o dever de elaborar relatórios de impacto à proteção de dados pessoais e a nomeação de um encarregado pelo tratamento, este que irá atuar como uma ponte de comunicação entre o controlador e a Autoridade Nacional e entre controlador e os titulares dos dados pessoais sob seu tratamento.
LGPD: Quem é o Operador e o que Deve ser Feito no Exercício de sua Função?
De acordo com a LGPD, o agente de tratamento de dados pessoais denominado como operador é o indivíduo que realiza o tratamento em nome do controlador. Este profissional pode ser uma pessoa natural ou jurídica, pertencente aos setores público ou privado. Como o operador não tem o controle sobre os dados pessoais que trata e não pode modificar as finalidades ou permitir o uso do conjunto particular de dados sob um determinado tratamento, seu dever é apenas tratar tais dados de acordo com as denominações e finalidades estabelecidas pelo agente controlador.
Mesmo que o exercício da função de operador se restrinja em atuar em nome de seu controlador e de acordo com o que é decidido por ele, é comum que lhe seja concedido um certo grau de discricionariedade e liberdade sobre o processo de tratamento dos dados. Sendo assim, o operador ganha o direito de exercer um determinado controle sobre as ações de tratamento e tem a permissão de decidir a maneira que os dados serão tratados. Isso condiz aos aspectos técnicos relativos à forma que um serviço de tratamento será prestado.
Agentes de Tratamento de Dados Pessoais e suas Responsabilidades
Para que os agentes de tratamento de dados pessoais possam exercer suas funções e direitos dentro da legalidade, a LGPD estabelece ao operador as seguintes responsabilidades:
I – Obtenção de consentimento específico do titular, quando necessário;
II – Informação e prestação de contas e pela garantia de portabilidade dos dados;
III – Garantia de transparência no tratamento de dados baseado em legítimo interesse;
IV – Manutenção de registro das operações de tratamento de dados pessoais, especialmente quando baseado no legítimo interesse;
V – Reparação de danos patrimoniais, morais, individuais ou coletivos causados por violação à legislação de proteção de dados pessoais;
VI – Comunicação à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Assim, a lei consegue entregar ao operador a liberdade de utilizar seus conhecimentos técnicos e expertise nas ações de tratamento para que ele tenha o poder de decidir, de acordo com as normas da LGPD e em nome do operador, as operações que serão utilizadas no tratamento de dados pessoais para um determinado objetivo.
Mesmo com suas responsabilidades estabelecidas e direitos garantidos pela LGPD, o operador não tem o poder de decidir aspectos relevantes sobre os dados, como quais as finalidades para cada tratamento, o que contém de informações pessoais nesses dados ou como eles serão utilizados. Este poder apenas é concedido ao controlador, pois de acordo com a Lei, cabe somente a ele a tomada de decisões sobre os pontos citados no parágrafo anterior.
Conclusão
Neste conteúdo, revelamos o papel dos agentes de tratamento de dados pessoais e suas respectivas responsabilidades. Contudo, antes de terminar, é importante ressaltar como a governança de dados é uma prática indispensável para trazer agilidade e segurança no atendimento às normas impostas pela nova lei.
Quando implementada, a LGPD oferece uma série de benefícios, entre eles, o compliance das empresas. A Tenbu conta com um time robusto de especialistas em LGPD, governança de dados e compliance para assegurar que suas ações de conformidade sejam eficazes e se tornem práticas comuns nas rotinas da empresa.
Para aprender mais sobre o assunto, sugerimos que acompanhe nosso Blog. E, para complementar as informações sobre os agentes de tratamento de dados pessoais e LGPD, sugerimos a leitura de dois conteúdos especiais:
Tratamento de Dados na LGPD – Noções Básicas
Princípios Gerais da LGPD e Exemplos de Boas Práticas