Titular, Operador e Controlador – o que isso quer dizer?

TITULAR, CONTROLADOR E OPERADOR

Com a aprovação da LGPD muito tem se discutido sobre os termos apresentados no texto da lei, alguns termos são novos e tem causado dúvida aos gestores. Mesmo o artigo 5º da LGPD, apresentando as definições dos termos que serão utilizados na lei, apenas esse conceito não é suficiente para entender qual o papel de cada um no contexto de tratamento de dados pessoais. Aguns dos termos que tem gerado mais insegurança são: titular, operador e controlador. A dificuldade está em enquadrar os colaboradores na função exigida pela norma.

Titular, Operador E Controlador

Em se tratando de uma legislação que visa estabelecer uma cultura de proteção de dados pessoais, primeiro devemos identificar quem serão os sujeitos que terão a proteção da lei. No artigo 5º, inciso V, temos que o titular será a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. O titular poderá fornecer seus dados para quem ele quiser, mas nunca perderá a condição de titular, por se tratar de um direito personalíssimo.

A respeito do conceito de titular não tem surgido grandes dúvidas, o que tem causado mais confusão são os chamados agentes de tratamento, que são aqueles responsáveis pelo tratamento de dados, sendo eles o controlador e operador. No artigo 5º, incisos VI e VII temos as seguintes definições:

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Entendendo melhor

Por serem definições semelhantes, é compreensível a confusão a respeito das responsabilidades de cada um. Antes de explicar melhor cada uma, podemos ressaltar uma importante diferença entre os agentes e o titular. Enquanto o controlador e operador podem ser tanto pessoa natural quanto pessoa jurídica, o titular só poderá ser pessoa natural, haja vista que a lei trata apenas da proteção de dados pessoais.

Já entre o controlador e operador a grande diferença, encontra-se no poder de decisão que cada um deles tem a respeito do tratamento de dados. Ao controlador competem as decisões a respeito de como serão tratados os dados pelo operador. Enquanto o operador estará subordinado ao controlador na cadeia de comando do tratamento de dados, realizando o tratamento em nome do controlador.

Ambos os agentes de tratamento têm o dever de manter registro das operações de tratamento de dados pessoais que realizarem, e, em caso de violação à legislação, são responsáveis pela reparação de quaisquer danos que vierem a causar a outrem, seja na ordem patrimonial, moral, individual ou coletivo, salvos as excludentes previstas na própria LGPD.

A distribuição da responsabilidade civil entre controlador e operador de dados pessoais no caso de incidente de privacidade com lesão ao titular, se dá de acordo com o estágio da operação em que residiu a falha, sendo que poderá haver solidariedade entre eles em determinadas hipóteses.

Os Agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito realizado.

Explicando cada uma das figuras

Agora iremos entender mais a fundo as definições de cada uma das figuras.

Titular

Importante destacar que a LGPD trouxe ao titular maior autonomia em relação ao tratamento dos seus dados pessoais, dando a ele a liberdade de escolher como os agentes de tratamento poderão utilizar os seus dados pessoais. Os direitos a seguir são os disposto no Art. 18 e seus incisos, no capítulo próprio “Dos Direitos do Titular”, mas os direitos do titular não se limitam apenas a esses artigos, tendo em vista que ao longo do texto da lei encontramos outros direitos do titular, por ser ele a principal persona da LGPD.

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

  • a confirmação da existência de tratamento;
  • o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
  • a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • a eliminação dos dados pessoais tratados com o consentimento do titular;
  • a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • e a revogação do consentimento.

Operador

O Operador, pode ser uma pessoa natural ou jurídica, de direito público ou privado, é um subordinado do controlador na cadeia de tratamento de dados pessoais, onde realiza o tratamento de dados pessoais em nome do controlador, tendo como obrigação o seguimento, à risca, das instruções fornecidas por este e a observância dos termos da Lei.

O operador, atuará como um parceiro técnico do controlador, devendo realizar o tratamento dos dados pessoais segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. A respeito da responsabilidade e do ressarcimento de danos, o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar ao titular dos dados, dano patrimonial, moral, individual ou coletivo, violando as normas da LGPD, estará obrigado a repará-lo.

Um bom exemplo para facilitar o entendimento são as empresas de call center, que atuam como operadoras de dados pessoais, tratando os dados pessoais nos limites definidos pelo Controlador, com a observância da lei.

Controlador

Controlador é toda pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. Em outras palavras, trata-se daquele que ditará de que forma será tratado o dado pessoal coletado, sempre em observância aos dispositivos da LGPD e aos direitos do titular.

Por ser o Controlador aquele que detém o monopólio do poder decisório sobre os dados tratados, lhe é incumbido todo o ônus de garantir transparência e comunicação com o titular dos dados pessoais durante todo o ciclo de vida do dado coletado, além de orientar o operador sobre a forma como deverá desempenhar suas atividades quando o dado pessoal for compartilhado.

Sendo o controlador o responsável pelas decisões a respeito do tratamento de dados, um dos seus deveres é a elaboração de relatório de impacto à proteção de dados pessoais que é documentação que deverá conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Outros deveres do Controlador são os seguintes:

  1. ônus de comprovar que o consentimento obtido junto ao titular, nos casos em que essa for a base legal adequada, foi realizado em conformidade com o disposto na Lei;
  2. a indicação do Encarregado pelo tratamento de dados pessoais, devendo ser divulgadas publicamente a identidade e as informações deste, preferencialmente no sítio eletrônico do controlador;
  3. caberá ao controlador a comunicação a Autoridade Nacional e ao titular dos dados, a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
  4. deverá adotar medidas para garantir a transparência do tratamento de dados quando esse for baseado no legítimo interesse.

Conclusão

O objetivo do texto não é exaurir o tema, mas esclarecer  os principais pontos que a princípio   podem causar confusão, mas ao verificarmos que tratam-se de funções já existentes somente enquadradas em novas terminologias, facilita a compreensão de cada uma delas. Outra grande dúvida que muitos gestores tem tido, é sobre a necessidade do consentimento do titular para o tratamento dos dados pessoais, para entender melhor sobre o tema, acesse o texto em que respondemos à pergunta: “Só posso coletar ou tratar dados pessoais com o consentimento do usuário?

 

 

[wp-review id=”17022″]

Checklist: Planejamento estratégico de TI e Segurança em 2025

Participe da comunidade de tecnologia da Tripla

Siga a Tripla nas redes

Quer saber como nossas soluções podem beneficiar sua empresa? Converse com nossos especialistas!

Participe da comunidade
de tecnologia da Tripla

Copyright © 2020 Tripla

Fale com um de nossos consultores