Introdução
Na Lei Geral de Proteção de Dados (LGPD), os agentes de tratamento desempenham um papel central na gestão e proteção de dados pessoais. Esses agentes são responsáveis por garantir que os dados sejam tratados conforme os princípios da LGPD. Os dois principais agentes definidos pela lei são o controlador e o operador, e suas responsabilidades estão delineadas nos artigos 37 a 40 da LGPD.
O Que São os Agentes de Tratamento?
De acordo com a LGPD, os agentes de tratamento são responsáveis pela coleta, uso, armazenamento e descarte de dados pessoais. Eles são divididos em dois grupos principais:
- Controlador: É a pessoa física ou jurídica, de direito público ou privado, que toma decisões sobre como os dados serão tratados. O controlador define as finalidades e os métodos do tratamento de dados.
- Operador: É quem realiza o tratamento de dados pessoais em nome do controlador, seguindo as instruções dadas por ele. O operador atua de acordo com as orientações do controlador, mas não tem autonomia para definir como os dados serão utilizados.
Responsabilidades do Controlador
O controlador tem o papel mais crítico, pois é ele quem toma as decisões sobre o tratamento dos dados. Entre suas principais responsabilidades estão:
- Definir as finalidades do tratamento: O controlador decide por que e como os dados serão utilizados. Ele também deve garantir que o tratamento respeite os direitos dos titulares e os princípios da LGPD.
- Manter registros de operações de tratamento: De acordo com o artigo 37, tanto o controlador quanto o operador devem manter registros detalhados das operações de tratamento que realizam. Isso é especialmente importante quando o tratamento se baseia em interesses legítimos.
Responsabilidades do Operador
O operador, por sua vez, é responsável por executar o tratamento dos dados, sempre seguindo as instruções do controlador. As principais funções do operador incluem:
- Realizar o tratamento conforme instruções do controlador: O operador só pode tratar os dados para as finalidades estabelecidas pelo controlador.
- Garantir a segurança dos dados: O operador deve implementar medidas técnicas e organizacionais para proteger os dados pessoais e minimizar os riscos de violações.
Suboperador
Embora a LGPD não faça menção explícita ao suboperador, a Autoridade Nacional de Proteção de Dados (ANPD) reconhece essa figura em seus guias de regulamentação. O suboperador é contratado pelo operador para realizar parte do tratamento de dados em nome do controlador. Assim, as regras que se aplicam ao operador também são válidas para o suboperador.
Artigos 37 a 40: Obrigações e Impacto
Os artigos 37 a 40 da LGPD estabelecem diretrizes adicionais sobre as responsabilidades dos agentes de tratamento:
- Artigo 37: Estabelece a necessidade de manter registros das operações de tratamento, especialmente quando baseadas em interesses legítimos.
- Artigo 38: A ANPD pode exigir que o controlador elabore relatórios de impacto à proteção de dados, detalhando as medidas adotadas para mitigar riscos.
- Artigo 39: Determina que o operador deve seguir as instruções do controlador e garantir o cumprimento das normas de proteção de dados.
- Artigo 40: A ANPD pode definir padrões de interoperabilidade para garantir a portabilidade e segurança dos dados.
Controladoria Conjunta
Em algumas situações, mais de um controlador pode estar envolvido no tratamento de dados, formando uma controladoria conjunta. Isso acontece quando duas ou mais entidades compartilham responsabilidades na determinação das finalidades e métodos de tratamento dos dados. Nesse caso, todos os controladores devem garantir a transparência e colaborar entre si para assegurar que os direitos dos titulares sejam respeitados.
Conclusão
A correta identificação dos agentes de tratamento é crucial para garantir a conformidade com a LGPD. Controladores e operadores desempenham papéis complementares, mas suas responsabilidades são distintas. O controlador toma decisões sobre o uso dos dados, enquanto o operador segue suas instruções. Com a regulamentação da ANPD, essas funções estão mais claras, mas é essencial que as empresas continuem monitorando suas obrigações e garantindo a proteção dos dados que tratam.
FAQ
Qual a diferença entre controlador e operador de dados?
O controlador define as finalidades e os meios de tratamento de dados, enquanto o operador executa o tratamento conforme as instruções do controlador.
O que é o suboperador?
O suboperador é contratado pelo operador para ajudar no tratamento dos dados em nome do controlador, seguindo as mesmas regras do operador.
Uma empresa pode ser controladora e operadora ao mesmo tempo?
Sim, uma empresa pode atuar como controladora em um contexto e como operadora em outro, dependendo da natureza da operação de tratamento de dados.
Lembre-se: Este artigo tem caráter informativo e não substitui a consulta a um advogado especializado.