Controlador, operador e encarregado (DPO): entenda as funções de cada um na LGPD
Controlador, operador e encarregado são três papéis importantes que foram introduzidos pela LGPD (Lei Geral de Proteção de Dados). Até então estes eram termos pouco conhecidos no Brasil, mas todas as empresas que estão em busca de adequação à lei precisam entender muito bem essas três funções, já que elas estão na base da lei.
Basicamente, controlador, operador e encarregado são pessoas ou empresas que participam do processo de tratamento dos dados tendo atribuições legais bem definidas.
O nosso objetivo hoje é apresentar melhor esses papeis e esclarecer quaisquer dúvidas que estes termos da LGPD possam causar.
Confira neste artigo!
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
O que é o controlador na LGPD?
O controlador é definido, segundo a LGPD, como “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
Isto é, o controlador é a empresa ou a pessoa que coordena e define como o dado pessoal será tratado, da coleta à eliminação.
O controlador é a parte mais interessada no tratamento dos dados, e sobre quem recai a maior responsabilidade em relação ao tratamento.
Papel do controlador
A principal atribuição legal do controlador, obviamente, é garantir que as normas e os princípios estabelecidos pela LGPD estejam sendo respeitados.
Uma das atribuições fundamentais do controlador é garantir a transparência e a comunicação com o titular dos dados. Ou seja, é preciso deixar clara as suas intenções ao coletar dados e ainda criar canais de comunicação para que os titulares dos dados tenham acesso facilitado as suas próprias informações e direitos.
Outro dever do controlador diz respeito à elaboração do Relatório de Impacto à Proteção de Dados Pessoais, nas hipóteses aplicáveis.
Este relatório é um documento que contém detalhes sobre os processos de tratamento dos dados pessoais dentro da empresa, incluindo medidas de segurança e de prevenção a vazamentos de dados e incidentes.
De acordo com a LGPD, a autoridade responsável pela aplicação da lei, chamada de ANPD (Autoridade Nacional de Proteção de Dados), pode solicitar o relatório para a empresa quando achar necessário.
Tendo em vista o papel e as obrigações do controlador, é ele também que responde por danos patrimoniais, morais, individuais ou coletivos, assim como qualquer outro tipo de violação ou desacordo à legislação.
Inclusive, o controlador tem responsabilidade sobre o operador, tendo que orientá-lo para que o tratamento dos dados pessoais ocorra conforme as determinações da lei. Em casos de danos, o controlador pode responder solidariamente pelos prejuízos causados pelo operador.
O que é o operador na LGPD?
A LGPD define o operador como “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
Nós podemos dizer que o operador é a pessoa ou a empresa que processa e trata os dados pessoais sob as ordens do controlador.
Papel do operador
Como mencionado, o operador cumpre ordens e trabalha para o controlador.
Portanto, deve realizar o tratamento de dados de acordo com obrigações da lei, seguindo as suas bases legais. Também deve respeitar as diretrizes e a política de segurança e privacidade do controlador.
Dois exemplos que facilitam a compreensão sobre a função do operador são as empresas de call center e as empresas que trabalham com geração de leads.
Da mesma maneira que o controlador, o operador também responde por danos patrimoniais, morais, individuais ou coletivos, assim como qualquer outro tipo de violação ou desacordo à legislação, podendo responder solidariamente.
O que é o encarregado ou DPO na LGPD?
De acordo com a LGPD, o encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
O encarregado é a figura conhecida como DPO (Data Protection Officer).
Ele é o responsável por atuar como uma espécie de fiscal da lei dentro da empresa. O DPO atua com independência para orientar de maneira técnica e embasar as decisões corporativas para que estejam aderentes à legislação de proteção de dados pessoais.
O DPO, tal como concebido na legislação europeia, será designado com base em suas qualidades profissionais e, principalmente, em seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados pessoais.
Na prática, o cargo tem sido ocupado por advogados, consultores e profissionais de segurança da informação. De fato, é necessário uma multidisciplinaridade para a boa execução das atividades.
Funções do DPO
De maneira muito resumida, a LGPD estabelece que as atividades do DPO consistem em:
- Intermediar as comunicações e providências da empresa em relação aos titulares de dados e à ANPD;
- Orientar a organização como um todo a respeito das práticas de governança na proteção de dados pessoais.
Na prática, o DPO acaba englobando uma série de outras funções relacionadas à proteção de dados na empresa. A LGPD também deixa em aberto a possibilidade da ANPD dispor de normas complementares sobre as atribuições do DPO.
O cargo de DPO é obrigatório?
O DPO é uma função obrigatória, exceto no caso de startups e pequenas empresas, que podem optar ou não por indicar alguém ao cargo.
No entanto, ainda que uma regulamentação da ANPD tenha flexibilizado as regras para esse grupo, a indicação de alguém para o cargo de DPO configura boa prática para a manutenção do programa de conformidade da organização.
O que é o DPO as a Service?
DPO as a Service é um serviço oferecido pela Get Privacy que permite a contratação de um DPO profissional. Funciona da seguinte maneira: nós designamos um dos nossos especialistas em proteção e privacidade de dados para assumir o cargo de DPO na sua empresa.
É um trabalho que pode ser realizado à distância e também in loco, dependendo da necessidade da sua empresa. A grande vantagem do DPO as a Service é o custo-benefício, já que você tem um profissional experiente à sua disposição sem ter que arcar com todas as burocracias e custos.
O DPO as a Service é uma maneira inteligente de otimizar custos e pessoal, e manter-se em conformidade com a LGPD.
Este especialista em proteção e privacidade de dados vai ajudar e orientar a sua empresa em diferentes frentes de trabalho, como, por exemplo:
- Gerenciamento do programa de privacidade e segurança de dados.
- Definição e atualização do Data Mapping da empresa.
- Elaboração do Relatório de Impacto à Proteção de Dados Pessoais.
- Orientação e treinamento do seu time em temas ligados à segurança e privacidade.
- Fiscalização da conformidade com a LGPD.
- Monitoramento de mudanças e novas regulamentações da LGPD.
- Mediação entre os titulares dos dados, a empresa e a ANPD.
- Recebimento das comunicações da ANPD, adotando as providências necessárias.
Quer saber mais? Ligue para (41) 2391-0966 (Whatsapp) ou escreva para a gente.
Contrate um DPO profissional
Conte com o suporte de um especialista em proteção de dados e garanta a conformidade com a LGPD.
CONFIRA
OUTROS POSTS