Quem são os agentes de tratamento de dados segundo a LGPD?

Agentes de tratamento de dados: quem são e o que fazem?
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Com a iminente exigência de adequação à LGPD, um dos pontos os quais ganham mais evidência é o cuidado com os dados pessoais. Para isso, no entanto, entra em papel os chamados agentes de tratamento de dados.

Os agentes de tratamento de dados são duas entidades que compõem a estrutura funcional da LGPD e são parte essencial para o tratamento correto dos dados pessoais, com responsabilidades distintas nesse processo.

O que e quem são os agentes de tratamento de dados?

Os Agentes de tratamento de dados (Controlador + Operador) são conhecidos como as entidades participantes do processo, que realizam o tratamento de dados pessoais, sendo que o Operador realiza o tratamento de dados pessoais em nome do Controlador.

Sendo assim, são duas entidades, conforme citados anteriormente, e um terceiro ainda que, apesar de não ser chamado de “agente de tratamento” pela Lei, oferece auxílio na comunicação durante todos os processos.

Para ficar mais claro, confira abaixo a definição para cada uma dessas figuras:

  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Encarregado pela Proteção de Dados: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Apesar dessas três figuras possuírem sua respectiva importância, o último pode ser exigido de acordo com especificações da empresa.

Dentre elas, temos pontos como a natureza, porte da instituição e também o volume de informações os quais ela trata.

As duas primeiras figuras, no entanto, são cruciais no processo, uma vez que são as entidades que lidam diretamente com o tratamento de dados e classificadas como agentes de tratamento.

Sem a definição de um Controlador e um Operador, além de estar fora do que é previsto pela LGPD, a empresa fica suscetível à sanções e a equipe se torna incapaz de efetuar algum tipo de procedimento com os dados dos clientes.

O que é e como deve ser feito o tratamento de dados conforme a LGPD?

A primeiro momento, devemos entender que o tratamento de dados pessoais é toda e qualquer ação que é feita com os dados pessoais.

Sendo assim, temos as seguintes possibilidades e explicações para cada uma das ações:

  1. acesso: utilização ou manipulação de dados;
  2. armazenamento: manter depositado um dado;
  3. arquivamento: efeito de manter registrado uma informação mesmo caso tenha pedido validade ou esgotado a vigência;
  4. avaliação: calcular valor sobre um ou mais dados;
  5. classificação: mapeamento de dados e organização dos mesmos seguindo critérios técnicos e de segurança da informação;
  6. coleta: captação dos dados para alguma finalidade;
  7. comunicação: transmissão de dados relevantes a políticas de tratamentos;
  8. controle: poder de regular, determinar ou então monitorar os tratamentos;
  9. difusão: efeito da divulgação, propagação ou multiplicação de informações;
  10. distribuição: ação de obter dados por meio de um critério estabelecido;
  11. eliminação: exclusão ou destruição de um dado do depósito;
  12. extração: copiar ou retirar dados do repositório o qual ele estava inicialmente/anteriormente;
  13. modificação: alterar um dado;
  14. processamento: efeito de processar os dados;
  15. produção: formação de bens e serviços por meio do tratamento de dados;
  16. recepção: quando se recebe informações após feita uma transmissão;
  17. reprodução: copiar um dado antecedente captado;
  18. transferência: mudar dados de um armazenamento para outro;
  19. transmissão: movimentação de dados entre dois pontos por meio dos mais variados dispositivos; e
  20. utilização: o aproveitamento de fato dos dados.

Estas são, de acordo com o glossário da LGPD oferecido digitalmente pela Serpro, todos os tratamentos que um dado pode receber.

Quer se tornar um especialista em LGPD e GDPR certificado pela EXIN? Clique e tenha acesso às primeiras vagas e desconto exclusivo!

De qual maneira a LGPD prescreve que sejam feitas essas ações?

Uma vez dito quais são os tratamentos, cabe ainda entender como todos estes procedimentos devem ser realizados de acordo com a LGPD.

Agora, para entender isso, devemos ter em mente que existem ao todo cerca de 10 princípios que a LGPD prevê para o tratamento dos dados pessoais.

Eles são:

  1. entender, e explicar ao titular dos dados, qual é a finalidade que faz imprescindível o tratamento dos seus respectivos dados;
  2. a justificativa deve possuir relação com o tipo de dado pessoal coletado pela empresa;
  3. analisar a necessidade que os dados pessoais apresentam para com as respectivas finalidades, fazendo uso apenas de dados pessoais e informações estritamente necessárias;
  4. o titular dos dados deve possuir livre acesso para consultar todos os dados pessoais que a empresa possui a seu respeito;
  5. a qualidade dos dados pessoais deve ser assegurada, ou seja, ela deve ser sempre verdadeira e atualizada;
  6. deve existir transparência entre a instituição e os respectivos clientes através de todos os meios de comunicação;
  7. a segurança é um ponto crucial, sendo responsabilidade das empresas buscar meios, tecnologias e métodos de proteger os dados pessoais de ataques cibernéticos ou acessos não autorizados;
  8. é necessário seguir o princípio de prevenção objetiva, adotando medidas para evitar danos aos dados pessoais causados pelos tratamentos;
  9. o uso dos dados pessoais nunca deve ser feito a fim de gerar discriminação ou gerar abusos contra os titulares;
  10. as empresas devem se responsabilizar e prestar contas.

Relatório de Impacto à Proteção de dados

Para este último ponto, cabe ressaltar que as instituições devem possuir provas e evidências sobre os procedimentos feitos.

E uma boa forma de realizar isto é através do Relatório de Impacto à Proteção de Dados, previsto pela LGPD.

Ele é um documento de extrema importância para empresas que realizam o tratamento de dados pessoais.

Afinal, através deste relatório é possível analisar riscos que os direitos e liberdades dos clientes de uma empresa possuem.

Sendo assim, caso o usuário esteja ciente dos riscos e forneça o consentimento, a empresa possui este respaldo em casos de ataques e consequentes vazamentos de dados pessoais.

Quais as responsabilidades e deveres dos agentes de tratamento?

Por fim, cabe ressaltar que a definição dos agentes de tratamento de dados pessoais é essencial para a realização adequada do tratamento de dados conforme as diretrizes da LGPD.

Isso ocorre pois cada um dos agentes possui diferentes responsabilidades quanto ao tratamento dos dados pessoais. A seguir, confira os papéis dos agentes de tratamento nesse processo:

Papel do Controlador

  • criar o Relatório de Impacto à Privacidade;
  • indicar o profissional que responderá ao cargo de Encarregado;
  • obter o consentimento do titular para o tratamento de seus dados;
  • reparar danos em casos de incidentes de segurança que gerem prejuízos ao titular;
  • obedecer e fiscalizar as boas práticas de governança previstas na Lei;
  • responder por danos aos dados pessoais dos titulares;
  • manter registro das operações de tratamento de dados pessoais.

Papel do Operador

  • realizar as atividades de tratamento de dados;
  • registrar as operações feitas e a manutenção de cada uma;
  • obedecer as instruções do controlador quanto ao tratamento dos dados pessoais;
  • responder por possíveis danos causados ao titular em consequência do tratamento de dados pessoais;
  • reparar danos que gerem prejuízos ao titular;
  • manter a segurança dos dados pessoais contra possíveis incidentes;
  • seguir as boas práticas de governança previstas na Lei.

Se os agentes de tratamento de dados arcarem corretamente com suas responsabilidades, as operações de tratamento estarão em conformidade com a LGPD e os riscos quanto a possíveis acidentes de seguranças serão diminuídos.

Denis Zeferino
Denis Zeferino
Denis Zeferino é Data Protection Officer (DPO) certificado pela EXIN. Bacharel em Ciência da Computação e pós-graduado em Gestão de Infraestrutura de TI, Segurança da Informação e Cybersecurity. Tem mais de 15 anos de experiência, conciliando sua vida profissional entre o universo da Tecnologia e Segurança da Informação e da Educação. É membro da Associação Nacional dos Profissionais de Privacidade de Dados e dedicado a levar o entendimento da LGPD e Proteção de Dados aos alunos do Certifiquei.

relacionadas