Empresas que trabalham com dados pessoais precisam estar atentas a dois atores criados pela Lei Geral de Proteção de Dados (LGPD), que entra em vigor em 2020. Para uma adequada adesão à legislação, a primeira precaução é entender o que cabe a cada um desses atores e em qual deles a empesa se enquadra. Do contrário, existe o risco de se assumir o papel incorreto, incorrendo em prejuízos como incorporar processos inapropriados ou deixar de adotar medidas legais.

Para começar, é importante notar que a nova lei deixa bem claro que uma coisa é definir a política corporativa para captação e uso de dados; e outra é, efetivamente, fazer o tratamento dos dados de acordo com essa definição. Como nem sempre quem toma as decisões é a mesma empresa ou pessoa que faz o processamento das informações, a LGPD instituiu as figuras do Controlador e do Operador, separando as duas posições – e suas respectivas responsabilidades. Chamados de agentes do tratamento de dados, ambos têm de submeter-se a obrigações e deveres jurídicos, mas cada um em sua função.

Vamos explicar a diferença entre eles para que você consiga visualizar em qual posição sua empresa se encontra. No artigo 5º da LGPD, o Controlador é descrito como “a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; e o Operador, como “a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

O Controlador, portanto, é quem estabelece as diretrizes: quais informações serão coletadas, de que forma serão tratadas. Já o Operador é quem executa as determinações do Controlador. Na prática, a empresa que solicita os dados de seus clientes é uma controladora, enquanto, se terceirizada, a empresa que opera a solução de coleta e tratamento dos dados é a operadora. Um exemplo real: o banco, ao estipular quais campos devem constar do cadastro do cliente, é um Controlador; e o call center, que entra em contato com o cliente, recebe e trabalha com esses dados, é um Operador.

Em suma, o Controlador dá a ordem; o Operador executa. Isso torna o Controlador o responsável pelo cumprimento da LGPD e de legislações que abordam uso de dados, como o Marco Civil da Internet, a Lei de Acesso à Informação, a Lei do Habeas Data, entre outras. Categórico a esse respeito, o artigo 39 da LGPD diz que cabe ao Controlador fazer a auditoria dos procedimentos do Operador. Nem por isso, o Operador está isento de compromisso. Assim como o Controlador, o Operador também responde por danos patrimoniais e morais, em caso de violação da lei.

Especialistas recomendam, para a tranquilidade tanto de operadoras quanto de controladoras, que seja produzido um documento interno especificando a política de tratamento de dados adotada em cada operação. A LGPD estipula ainda, no artigo 37, que o Controlador e o Operador façam registros do processo de tratamento, detalhando aspectos como a finalidade da captação, as condições de segurança, os procedimentos de consentimento e exclusão de consentimento, entre outros. O Controlador precisa também elaborar relatórios de impacto à proteção de dados pessoais, disponíveis para consulta das autoridades, quando solicitados.

Elucidar, repertoriar e monitorar as atribuições desses dois agentes de tratamento de dados não é apenas uma forma de melhorar a gestão para atender à nova lei. É também uma medida preventiva, que pode ser muito eficaz para reduzir danos, na eventualidade de uma crise – quem aí já ouviu falar de vazamento de dados?

BigData Corp

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *