Especificidades da LGPD controlador e operador e a inversão dos papéis

0

A Lei Geral de Proteção de Dados – Lei 13.709/2018, conhecida como LGPD, tem muitos conceitos novos e especificidades que não são de fácil compreensão pelo titular, que são todas as pessoas naturais, muito menos pelos profissionais que iniciam os estudos na área.

Essas especificidades confundem demais, não só os titulares, como as próprias empresas.

Uma dessas especificidades são os papeis desempenhados pelas empresas ora como controladores, ora como operadores.

Os nomes, ou natureza jurídica, por si só, não deixam claro quais são os seus papéis e atribuições.

Este artigo serve para tentar explicar para que não haja mais a inversão dos papéis entre Controlador e Operador, como estamos vendo no dia a dia das empresas.

O artigo 5°, da LGPD traz os conceitos ou natureza jurídica, de cada novo personagem criado, costumo chamar de “Glossário da LGPD”.

E o artigo 5° traz a definição do quem são e as atribuições tanto do Controlador quanto do Operador.

Num primeiro momento eles são chamados de Agentes de tratamento.

Diz o artigo 5°, inciso IX – “agentes de tratamento: o controlador e o operador”.

Aqui começa a confusão, porque dá a impressão de que ambos têm a mesma função, ou seja, tratar os dados pessoais, todavia, não é bem assim.

O artigo 5° traz a diferença entre os dois agentes de tratamento, senão vejamos:

“VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

“VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.”

Analisando o “Glossário da LGPD” vemos que os papéis e atribuições do Controlador e Operador são distintas, mas complementares.

Cabe ao Controlador a tomada de decisão sobre o tratamento dos dados pessoais, ou seja, ele controlador, vai decidir as finalidades, as hipóteses de tratamento, quem trata e como trata cada dado pessoal e com quais operadores esses dados serão compartilhados.

Aos Operadores cabe apenas a função de, recebidos os dados pessoais do Controlador, realizar o tratamento desses dados conforme definições e decisões do Controlador.

Não cabe ao Operador decidir como será feito o tratamento, apenas cumprir as ordens do Controlador.

Qualquer tratamento por parte do Operador diversa daquela decidida pelo Controlador será considerado um incidente de segurança com dados pessoais, passível de autuações e ações de indenização.

Lembrando que funcionário do Controlador NÃO É OPERADOR. São operadores os prestadores de serviços externos pessoas naturais ou jurídicas.

Acontece que muitos operadores têm encaminhado aos Controladores contratos onde eles, Operadores, decidem como tratarão os dados pessoais que recebem dos Controladores, numa verdadeira inversão de papéis.

Vemos muito isso acontecer, em especial, em escritórios de contabilidade que enviam esses contratos ou aditivos de contratos, onde eles, Operadores, decidem como vão tratar os dados recebidos de suas empresas clientes que são os Controladores.

Assim, deve-se tomar muito cuidado para que os prestadores de serviços, isto é, os Operadores, não invertam os papéis e queiram tomar decisões sobre o tratamento dos dados pessoais aos quais têm acesso através de compartilhamento vindo dos Controladores.

Por falar em compartilhamento de dados pessoais entre Controladores e Operadores, esse compartilhamento, com a entrada em vigor da LGPD, deve ser precedido de cuidados de segurança, para que não haja nenhum incidente no momento do compartilhamento e para isso algumas medidas podem ser tomadas.

Compartilhamos a seguir, algumas para que você possa analisar se em sua empresa elas já estão implementadas.

Política de segurança da informação nas empresas

Desenvolver uma política de segurança, determinando e documentando quais práticas e ações serão adotadas é fundamental e a própria LGPD determina os requisitos mínimos que devem constar dessa política a ser implementadas.

É por meio dessa política que se criará uma conduta, instituindo o que pode e o que não pode ser feito no que se refere ao manejo das informações. Sendo muito importante pois que os funcionários saibam os riscos de certos procedimentos. E isso inclui os controladores, pois passam a saber como devem ser tratados os dados da empresa.

Ferramentas e tecnologias

Investir em ferramentas e tecnologias adequadas à realidade e necessidade da empresa, a fim de evitar problemas tais como: a perdas, os roubos de dados, acessos indevidos, compartilhamentos indevidos, invasões e tentativas de invasões por meio de engenharia social e, para isso é preciso manter a TI, isto é, o Departamento de Tecnologia e Segurança da Informação sempre bem organizados e atualizados.

Muitas empresas não atualizam os programas, equipamentos e procedimentos. E quando esses estão ultrapassados, se tornam mais vulneráveis a panes, ataques e invasões.

Treinamento e conscientização

Criar um programa de treinamento e conscientização é fundamental. A falta de capacitação dos funcionários pode resultar em graves consequências.

Um funcionário mal treinado e não consciente dos perigos pode colocar toda a empresa em risco.

Se ficou com alguma dúvida, estamos à disposição, mande-nos um e-mail: dalva@usetecnologias.com.br

 

Dalva Azevedo e Silvia Brunelli

Dalva Azevedo Neiva é Cofundadora e Sócia da USE Tecnologias®, Coordenadora da ANPPD@ Regional DF, Membra do Comitê de Segurança da ANPPD®, DPO e Consultora de Privacidade de Dados Gestora de Riscos de Segurança e Privacidade 

Dra. Silvia Brunelli do Lago, DPO e Relações Governamentais da ANPPD, Membro Efetivo do Comitê de Privacidade e Proteção de Dados da OAB/DF, Advogada especializada em Relações Governamentais e Entidades Associativas. Com mais de 28 anos de atuação.

Comentários

Comentários

Deixe uma resposta