A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020, e com ela, certos termos e definições passaram a ser aprofundados. Ao adentrar este universo é comum que as instituições, mais especificamente o time responsável pela inserção da legislação, obtenham dúvidas introdutórias sobre o regulamento. Um dos tópicos são os cargos e suas funções, em especial, as ocupações de encarregado, controlador e operador.
Cada uma das funções tem a sua relevância dentro do processo de proteção de dados dos titulares. Abaixo destacamos as atuações, listando as diferenças e destacando a importância de cada uma para o processo de tratamento de informações pessoais.
Controladores
De acordo com a lei, o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Ou seja, é visto como o responsável (sendo ela uma pessoa física ou jurídica) por definir como as informações pessoais e sensíveis de terceiros serão tratadas.
Também considerado um agente de tratamento, juntamente com o operador, o controlador possui responsabilidades e obrigações rigorosas dispostas pela lei e deve gerenciar as atividades ligadas aos dados dos titulares. É ele quem toma as decisões em relação às informações e revela a finalidade daquele tratamento.
É comum que o controlador seja uma pessoa jurídica, ou seja, uma instituição que realiza a coleta, armazenamento, compartilhamento e eliminação para um propósito específico.
A LGPD ainda pontua diversos ofícios e demandas desde controlador, alguns dos principais sendo:
- “Ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.”;
- “Se necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.”;
- “Manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos.”
- “Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.”
- “Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”
Operadores
Já o operador é tido como uma “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Sendo assim, ele realiza as funções de processamento e tratamento indicadas pelo controlador.
Também deve estar atento a todos os pontos da lei para se certificar que as informações estão sendo corretamente administradas. A grande diferença durante sua atuação é que deve agir conforme as limitações estipuladas (objetivo, finalidade e natureza) pelo controlador.
Caso atue de forma contrária a legislação também responde por esses danos, sendo necessária a reparação, a depender dos casos.
Encarregado de dados (DPO)
Os encarregados de dados, também conhecidos como DPO, são essenciais para a manutenção da lei dentro de uma instituição. O profissional, de acordo com a lei, “é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
O regulamento ainda destaca as atividades que este indivíduo deve realizar, como:
- I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- II – receber comunicações da autoridade nacional e adotar providências;
- III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Em 2022 o cargo foi inscrito na Classificação Brasileira de Ocupações (CBO) pelo Ministério do Trabalho (MTE) destacando ainda mais sua importância.
Conformidade com a LGPD
Atuando como um marco brasileiro, a LGPD busca proteger os direitos fundamentais da liberdade e privacidade e fortalecer a cultura de proteção de dados.
Dessa forma, conhecer todos os papéis é uma necessidade para as instituições públicas e privadas que utilizam diariamente dados pessoais de titulares (sejam eles consumidores ou colaboradores) e precisam estar adequadas ao estipulado pela Lei nº 13.709/2018.
Ainda que relativamente nova, a regulamentação já possui um papel crucial para as instituições, sendo possível a aplicação de sanções e multas por não cumprimento dadas pela Autoridade Nacional de Proteção de Dados (ANPD). O Regulamento de Dosimetria e Aplicação de Sanções Administrativas, publicado em 2023, possibilitou que as primeiras sanções fossem aplicadas e reforçou a necessidade de colocar as regras em prática.
Além do entendimento dos cargos, é crucial que as instituições se atentem às bases legais da lei e se atualizem em relação aos artigos e publicações e atualizações oferecidas pela Autoridade.
Para atingir total adequação, ainda é essencial o suporte de um time jurídico que, a partir do uso de consultorias, conseguem visualizar o cenário atual e propor melhores soluções para cada caso.
A LGPD Brasil atua de forma personalizada a fim de assegurar que seus clientes estejam em total conformidade com a lei e com as legislações correlacionadas. Através do site é possível entender mais sobre a legislação e tirar as possíveis dúvidas.