Última atualização: 01/08/2021 É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei. O controlador que obteve o consentimento referido no inciso I do caput
deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei. (Art. 7, § 4º e 5º) Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na Lei. (Art. 8º, §2º) Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não
compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. (Art. 9, §2º)  Com a aproximação das sanções administrativas da Lei Geral de Proteção de Dados (LGPD), que passam a valer a partir de 1º de agosto de 2021, torna-se ainda mais urgente a adequação às mudanças previstas. Nesse momento, é fundamental compreender os papéis do controlador e operador na LGPD para evitar multas. Para contribuir com as empresas, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 28 de maio, o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. O documento busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto. Helio Cordeiro, Sócio-Diretor no Grupo Daryus e líder de LGPD, esclarece pontos importantes e fala sobre as responsabilidades do RH no cumprimento da lei. Entenda seu papelImagine que você é dono de uma empresa e seu funcionário infringiu uma regra na proteção de dados dos seus clientes. Você sabe quais as sanções deverão ser empregadas? Compreende quais são as responsabilidades da companhia e do colaborador? Em situações como essa, o papel do controlador e operador na LGPD devem estar claros para evitar possíveis sanções. Segundo Helio, um controlador é uma pessoa natural ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados. “Cabe a ele determinar sua atuação, regras de acordo com seu modelo de negócios e seu legítimo interesse, em conformidade com a lei”, explica. Já um operador é uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. “Ele processa e gerencia as informações de acordo com as regras estabelecidas pelo controlador”, esclarece o especialista. No exemplo citado, segundo Helio, a empresa atua como controladora e o funcionário como operador. “Importante ressaltar que um operador deve ter clareza em sua atuação, de forma a não exercer mais responsabilidades do que aquelas que deveriam estar definidas em seu contrato com um controlador”, alerta. Uma empresa é sempre controladora?O especialista reforça que uma empresa pode assumir o papel de controladora e operadora, a depender do contexto. Por exemplo, ela pode ser responsável internamente pelos dados dos funcionários e clientes ou, ainda, contratar uma terceirizada que conte com essa finalidade. A terceirizada, nesse caso, assume o papel de operadora. Sendo assim, Helio explica que o papel de controlador e operador na LGPD depende do assunto em questão e do entendimento dos líderes da companhia. “A avaliação de uma empresa considera aspectos de negócio, cadeia de valor, atuação e responsabilidades. Esta definição e especificação é realizada com a alta direção, considerando seus produtos e serviços, de forma a adequá-los à legislação”, explica. Desta forma, o especialista recomenda que esse aspecto não seja fruto de uma decisão rápida, utilizando somente uma visão simplista da operação em si. “Uma boa regra simples, que deve ser utilizada com cautela, é: um controlador controla e um operador opera (em nome de um controlador). Ambos são responsáveis em manter os registros de suas respectivas atuações e responsabilidades”, argumenta. Papel do controlador e operadorHelio explica que um controlador tem como papel e responsabilidade a gestão das informações. Ele deve gerenciar todas as atividades que envolvam dados pessoais relacionados aos clientes, consumidores e colaboradores, como:
O profissional pondera que não há diferença de responsabilidades entre controlador e operador na LGPD quanto ao registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado em legítimo interesse. RH é uma área-chaveCom um RH cada vez mais automatizado e, muitas vezes, movimentando grandes volumes de dados, Helio recomenda que a área busque parceiros de tecnologia de confiança para evitar problemas na LGPD. “O RH possui responsabilidade direta na gestão e uso de dados pessoais e sensíveis de seus colaboradores, incluído de crianças e adolescentes disponíveis no ecossistema de cadastro destes funcionários. Ainda que terceirize parte destas atividades com outras empresas, parceiros, prestadores, plataformas web ou startups, o departamento permanece como controlador destes dados”, ressalta Helio. Sendo assim, independentemente do papel de controlador e operador na LGPD, diversos tipos de dados fundamentais à área devem passar por regras de segurança criteriosas, inclusive de pessoas que estão participando de processos seletivos. “Informações de candidatos, currículos e bases cadastrais que antes eram guardados de forma permanente, agora, precisam de consentimento por parte dos titulares de dados para que sejam utilizados somente para a finalidade específica da contratação ou do recrutamento. Além disso, o período de armazenamento precisa ser claramente determinado e especificado aos titulares”, finaliza.
Quais são as principais responsabilidades de um controlador de dados?O controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento. Entre essas decisões, incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais.
Qual é o papel do controlador na LGPD?A LGPD define o operador como “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Nós podemos dizer que o operador é a pessoa ou a empresa que processa e trata os dados pessoais sob as ordens do controlador.
São responsabilidades exclusivas do controlador LGPD?Em relação à figura do Controlador é importante destacar que a LGPD estabelece obrigações específicas a este, tais como: (i) elaboração de relatório à proteção de dados pessoais (art. 38); (ii) comprovar que o consentimento obtido do titular atende às exigências legais (art.
Qual é a primeira coisa que o controlador deve fazer LGPD?Cabe ao controlador, por óbvio, seguir o disposto na LGPD, devendo realizar o tratamento de acordo com os princípios ou orientar corretamente o operador, para que este realize um tratamento lícito. Um ponto interessante é a responsabilidade do controlador de elaborar o relatório de impacto (nas hipóteses aplicáveis).
|
Entre as obrigações do controlador, elencadas na lei geral de proteção de dados (lgpd), estão:
Postagens relacionadas
direito autoral © 2024 pauex Inc.
