LGPD: entenda quem é o Controlador, Operador e Encarregado

Com a vigência da LGPD, muitas dúvidas têm surgido entre os gestores. Entre as principais, a definição de alguns termos descritos na lei têm causado confusão, como é o caso de: controlador, operador e encarregado.

Mesmo com a breve definição descrita no texto da lei, ainda é difícil para alguns distinguir os papéis de controlador, operador e encarregado dentro do processo de tratamento de dados pessoais de uma organização.

Quem são o Controlador, Operador e Encarregado?

O controlador, operador e encarregado possuem diferentes objetivos, conforme determina a Lei Geral de Proteção de Dados. Enquanto os dois primeiros são agentes de tratamento, o encarregado é um profissional nomeado por esses agentes para, sobretudo, atuar como canal de comunicação.

Essas três figuras são descritas no artigo 5º da LGPD (lei nº 13.709/2018) da seguinte forma:

• VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
• VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e
• VIII – Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Para entendermos com mais profundidade a definição de controlador, operador e encarregado na LGPD, vamos detalhar, a seguir, os papéis de cada um deles.

Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials!

Qual é a função do Controlador?

O controlador é a figura que está no topo da cadeia de tratamento de dados. Em síntese, o controlador é a parte que se beneficia do tratamento de determinados dados pessoais.

Se compararmos a LGPD com a lei europeia, ou o Regulamento Geral de Proteção de Dados (GDPR), o controlador é a figura equivalente ao “responsável”.

Ou seja, é o controlador que detém o poder de realizar o tratamento de dados pessoais com o devido consentimento do titular e respeitando as bases legais, podendo ser uma pessoa ou uma empresa.

Isso quer dizer que é o controlador que toma todas as decisões no tocante ao processamento desses dados pessoais, como qual a finalidade para quais os dados pessoais serão usados, sobre quais indivíduos irá coletar dados pessoais, por quanto tempo irá retê-los e etc..

Para exemplificar o papel do controlador, podemos usar a figura de uma empresa de serviços call center contratada por um banco.

O banco é a organização que se beneficia do tratamento dos dados pessoais, o responsável, ou seja, o controlador. Mas é a terceirizada contratada quem, de fato, realiza a coleta desses dados pessoais.

Do mesmo modo, esses papéis também podem corresponder a pessoas naturais e, não necessariamente, a duas empresas distintas.

Assim, a empresa deve designar uma pessoa dentro da corporação que auxiliará nas decisões tomadas no tocante ao tratamento de dados pessoais.

Responsabilidades do controlador

O papel do controlador na LGPD e as suas principais responsabilidades podem ser pontuados da seguinte maneira.

• Obter o consentimento do titular para comunicar ou compartilhar dados pessoais com outros controladores;
• Informar o titular em casos de alterações de informações sobre a finalidade do tratamento, sobre a forma e duração do tratamento, sobre as informações de contato do controlador e sobre as informações acerca do uso compartilhado de dados pessoais pelo controlador;
• Garantir a transparência no tratamento de dados pessoais baseado em legítimo interesse;
• Elaborar o relatório de impacto à proteção de dados pessoais, bem como de dados sensíveis, referente a suas operações de tratamento de dados pessoais, com observância dos segredos comercial e industrial;
• Indicar o profissional encarregado pelo tratamento de dados pessoais;
• Reparar danos patrimoniais, morais, individuais ou coletivos causados por violação à legislação de proteção de dados pessoais;
• Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
• Verificar se as instruções passadas foram seguidas pelo operador;
• Salvaguardar os direitos dos titulares por meio de adoção de providências, como a divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente;
• Observar as boas práticas e padrões de governança previstos na LGPD.

Qual é a função do Operador?

Já o operador é a figura que realiza o tratamento dos dados em nome do controlador. Ou seja, na cadeia de tratamento de dados pessoais o operador é subordinado do controlador.

Se a LGPD for comparada à lei europeia, a GDPR, o operador é o agente equivalente ao “processador”.

Cabe ao operador seguir as diretrizes impostas pelo controlador no tratamento de dados pessoais, de acordo com as políticas de privacidade e respeitando a LGPD.

Por sua vez, o controlador verifica a observância de suas próprias instruções pelo operador.

Vale ressaltar que o operador está limitado apenas ao tratamento de dados pessoais, de acordo com as instruções do controlador, não podendo, portanto, obter controle sobre os dados pessoais ou alterar a finalidade ou uso dos mesmos.

Contudo, apesar de estar subordinado ao controlador, o operador também possui responsabilidades perante a lei.

Portanto, o operador que, em razão da atividade de tratamento de dados pessoais, causar qualquer dano patrimonial, moral, individual ou coletivo, violando a LGPD, também estará obrigado a repará-lo.

Podemos, então, ter operadores como pessoais naturais, contratadas pela empresa controladora, que executam o que a organização melhor define para o tratamento de dados pessoais.

Do mesmo modo, também podemos ter o controlador como uma empresa contratada por outra.

Dentro do exemplo dado no tópico anterior, o operador seria, então, a empresa de serviços call center contratada pelo banco.

Responsabilidades do operador

Então, podemos definir como papel do operador na LGPD os pontos a seguir.

• Realizar o tratamento de dados pessoais segundo as instruções fornecidas pelo controlador;
• Manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação de dados pessoais;
• Manter registros das operações de tratamentos de dados pessoais que realizar;
• Observar as boas práticas e padrões de governança previstos na LGPD.

Além disso, o operador possui liberdade para usar o seu conhecimento técnico a fim de decidir como melhor executar as atividades em nome do controlador.

Contudo, ressaltamos novamente, ele não toma decisões sobre o que é feito com esses dados pessoais.

Assim, o operador pode decidir sobre:

• sistema, método ou ferramentas utilizadas para coletar os dados pessoais;
• meios utilizados para transferir os dados pessoais de uma organização para outra;
• métodos utilizados para recuperar dados pessoais de determinados indivíduos;
• maneira de garantir que o método por trás do cronograma de retenção seja respeitado;
• meio de garantir a segurança dos dados;
• método de armazenamento de dados pessoais.

Qual é a função do Encarregado ou DPO?

Por fim, o encarregado é o profissional indicado pelo controlador para atuar como canal de comunicação entre o próprio controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Em síntese, o encarregado é o profissional que auxilia a organização a adaptar seus processos à LGPD.

Comparando a LGPD com a lei europeia, o encarregado é a figura equivalente ao DPO, ou Data Protection Officer.

É importante notar que a lei não define o encarregado como um agente de tratamento, como no caso do controlador e do operador. Contudo, esse deve atuar em conjunto com os outros dois agentes.

A lei também não determina que o encarregado responda legalmente. Ou seja, entende-se que cabe ao controlador a fiscalização desse profissional, tendo responsabilidade em caso de incidentes.

O que a lei deixa claro, no entanto, é que a identidade e as informações de contato do encarregado devem ser divulgadas publicamente, preferencialmente no sítio eletrônico do controlador.

Responsabilidade do encarregado

De acordo com a lei, o papel do encarregado LGPD consiste em:

• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade nacional e adotar providências;
• orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Por fim, a LGPD ainda deixa claro que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado.

Como se tornar um especialista em privacidade e proteção de dados?

Com a vigência cada vez mais próxima da LGPD, muitas organizações têm se preocupado em adaptar-se o mais breve possível.

Para isso, portanto, também devem estar prontas para distribuir as funções internamente dentro do programa de privacidade e proteção de dados, como o do encarregado.

Para realizar o papel de encarregado com êxito são precisos diversos conhecimentos, como em gestão de dados pessoais, segurança da informação e na própria LGPD, por exemplo.

A EXIN, empresa de certificações reconhecida no mercado de TI, conta com um programa de qualificações voltado especialmente para os profissionais que desejam ter esse conhecimento e compreensão na prática profissional.

Dentro desse programa ela oferece certificações a vários níveis, buscando preparar profissionais e organizações para a adequarem-se às normas da LGPD.

Para o controlador e operador é importante contar com um encarregado que possua principalmente estas duas certificações:

A primeira, em Privacy and Data Protection Essentials (PDPE), valida os fundamentos básicos de privacidade e proteção de dados e conhecimentos sobre a LGPD.

A segunda certificação, em Privacy and Data Protection Practitioner (PDPP), valida o conhecimento sobre a GDPR e o aplica à prática profissional.

Já para adquirir o título de encarregado, ou DPO, pela EXIN, o profissional deverá possuir três certificações, sendo elas:

1. Information Security Foundation (ISFS)
2. Privacy and Data Protection Foundation (PDPF)
3. Privacy and Data Protection Practitioner (PDPP)

Agora que você conhece os papéis de controlador, operador ou encarregado, prepare-se para estar de acordo com a LGPD com os cursos do Certifiquei e tire sua certificação o quanto antes.