Sem dúvidas um tema que ainda tem muito “pano pra manga” é sobre as figuras trazidas pela LGPD (“Lei Geral de Proteção de Dados Pessoais”) chamadas de agentes de tratamento de dados pessoais. Muitas ainda são as dúvidas da maior parte do empresariado sobre a diferença entre cada um, a responsabilidade e suas obrigações. Por isso, sem delongas, vamos abordar da forma mais sucinta e rápidas esses principais pontos no artigo de hoje.
Para iniciarmos é preciso entender que somente é considerado como agente de tratamento de dados pessoais, o controlador e o operador que pode ser tanto pessoa física ou jurídica de direito privado ou público. Não sendo considerado para efeitos da legislação de proteção de dados como controladores ou operadores, aqueles que atuam de forma subordinada, tais como servidores públicos, funcionários ou até equipe de trabalhos de agem com subordinação de uma Pessoa Jurídica que é quem estabelece as regras para o tratamento de dados pessoais.
O controlador e o operador de dados pessoais
O controlador de dados pessoais é aquele que toma as principais decisões sobre a o porquê existirá aquele tratamento de dados na empresa, a forma e os prazos que durará esse tratamento, ou seja, aquele que tem o poder de decisão no tratamento de dados.
Já o Operador é a pessoa física ou jurídica que realiza (executa) o tratamento de dados em nome do Controlador.
A principal diferença entre o controlador e operador é o poder de decisão: o operador só pode agir no limite das finalidades determinadas pelo controlador, salvo nos casos que são necessários a tomada de medidas técnicas por parte do Operador e que não necessariamente essenciais do tratamento de dados, por exemplo: sua empresa contrata uma equipe de Tecnologia da Informação e eles sugerem ou contratam um software para armazenamento em nuvem. Veja, aqui a Empresa de Tecnologia da Informação tomou uma decisão técnica para execução do contrato.
Outra grande diferença é que os Controladores possuem algumas obrigações “a mais” que o Operador de dados pessoais, como: i) O Controlador deve elaborar e manter na sede da empresa um documento chamado de relatório de impacto à proteção de dados pessoais, ii) comprovar que consentimento quando coletado atende as exigências legais, iii) comunicar a ANPD sobre a ocorrência de incidente de segurança, além de atender todas as solicitação de titulares (pessoas físicas) que utilizam o serviço ou produto do Controlador. Entretanto, é importante relembrar que mesmo que o Controlador tenha algumas obrigações perante a lei de proteção de dados “a mais” do que o Operador, ambos possuem a obrigação de reparação se causarem qualquer tipo de dano para titulares caso fique comprovado sua inobservância da lei.
O que recomendamos é que essa relação sempre seja respalda com um bom contrato entre as partes (controlador e operador) com a finalidade de deixar o mais claro possível o motivo da contratação, a duração da relação, os tipos de dados pessoais envolvidos os direitos e obrigações e responsabilidades relacionados ao cumprimento da LGPD, e claro se tiver dúvidas procure profissionais especializados para prestar uma assessoria na realização deste trabalho que a longo prazo irá levar sua empresa para outro nível.
