Controlador, Operador e Encarregado: quem são eles na LGPD?

Controlador Operador e Encarregado: quem são eles na LGPD?
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Com a vigência cada vez mais próxima da LGPD, muitas dúvidas têm surgido entre os gestores. Entre as principais, a definição de alguns termos descritos na lei que têm causado confusão, como é o caso de: controlador, operador e encarregado.

Mesmo com a breve definição descrita no texto da lei, ainda é difícil para alguns distinguir os papéis de controlador, operador e encarregado dentro do processo de tratamento de dados pessoais de uma organização.

Quem são o Controlador, Operador e Encarregado?

Quem são o Controlador, Operador e Encarregado?

O controlador, operador e encarregado possuem diferentes objetivos, conforme determina a Lei Geral de Proteção de Dados. Enquanto os dois primeiros são agentes de tratamento, o encarregado é um profissional nomeado por esses agentes para, sobretudo, atuar como canal de comunicação.

Essas três figuras são descritas no artigo 5º da LGPD (lei nº 13.709/2018) da seguinte forma:

  • VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e
  • VIII – Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Para entendermos com mais profundidade a definição de controlador, operador e encarregado na LGPD, vamos detalhar, a seguir, os papéis de cada um deles.

Quer se tornar um especialista em LGPD e GDPR certificado pela EXIN? Clique e tenha acesso às primeiras vagas e desconto exclusivo! 

Qual é o papel do Controlador?

O controlador é a figura que está no topo da cadeia de tratamento de dados. Em síntese, o controlador é a parte que se beneficia do tratamento de determinados dados pessoais.

Se compararmos a LGPD com a lei europeia, ou o Regulamento Geral de Proteção de Dados (GDPR), o controlador é a figura equivalente ao “responsável”.

Ou seja, é o controlador que detém o poder de realizar o tratamento de dados pessoais com o devido consentimento do titular e respeitando as bases legais, podendo ser uma pessoa ou uma empresa.

Isso quer dizer que é o controlador que toma todas as decisões no tocante ao processamento desses dados pessoais, como qual a finalidade para quais os dados pessoais serão usados, sobre quais indivíduos irá coletar dados pessoais, por quanto tempo irá retê-los e etc..

Para exemplificar o papel do controlador, podemos usar a figura de uma empresa de serviços call center contratada por um banco.

O banco é a organização que se beneficia do tratamento dos dados pessoais, o responsável, ou seja, o controlador. Mas é a terceirizada contratada quem, de fato, realiza a coleta desses dados pessoais.

Do mesmo modo, esses papéis também podem corresponder a pessoas naturais e, não necessariamente, a duas empresas distintas.

Assim, a empresa deve designar uma pessoa dentro da corporação que auxiliará nas decisões tomadas no tocante ao tratamento de dados pessoais.

Responsabilidades do controlador

O papel do controlador na LGPD e as suas principais responsabilidades podem ser pontuados da seguinte maneira.

  • Obter o consentimento do titular para comunicar ou compartilhar dados pessoais com outros controladores;
  • Informar o titular em casos de alterações de informações sobre a finalidade do tratamento, sobre a forma e duração do tratamento, sobre as informações de contato do controlador e sobre as informações acerca do uso compartilhado de dados pessoais pelo controlador;
  • Garantir a transparência no tratamento de dados pessoais baseado em legítimo interesse;
  • Elaborar o relatório de impacto à proteção de dados pessoais, bem como de dados sensíveis, referente a suas operações de tratamento de dados pessoais, com observância dos segredos comercial e industrial;
  • Indicar o profissional encarregado pelo tratamento de dados pessoais;
  • Reparar danos patrimoniais, morais, individuais ou coletivos causados por violação à legislação de proteção de dados pessoais;
  • Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
  • Verificar se as instruções passadas foram seguidas pelo operador;
  • Salvaguardar os direitos dos titulares por meio de adoção de providências, como a divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente;
  • Observar as boas práticas e padrões de governança previstos na LGPD.

Qual é o papel do Operador?

Já o operador é a figura que realiza o tratamento dos dados em nome do controlador. Ou seja, na cadeia de tratamento de dados pessoais o operador é subordinado do controlador.

Se a LGPD for comparada à lei europeia, a GDPR, o operador é o agente equivalente ao “processador”.

Cabe ao operador seguir as diretrizes impostas pelo controlador no tratamento de dados pessoais, de acordo com as políticas de privacidade e respeitando a LGPD.

Por sua vez, o controlador verifica a observância de suas próprias instruções pelo operador.

Vale ressaltar que o operador está limitado apenas ao tratamento de dados pessoais, de acordo com as instruções do controlador, não podendo, portanto, obter controle sobre os dados pessoais ou alterar a finalidade ou uso dos mesmos.

Contudo, apesar de estar subordinado ao controlador, o operador também possui responsabilidades perante a lei.

Portanto, o operador que, em razão da atividade de tratamento de dados pessoais, causar qualquer dano patrimonial, moral, individual ou coletivo, violando a LGPD, também estará obrigado a repará-lo.

Podemos, então, ter operadores como pessoais naturais, contratadas pela empresa controladora, que executam o que a organização melhor define para o tratamento de dados pessoais.

Do mesmo modo, também podemos ter o controlador como uma empresa contratada por outra.

Dentro do exemplo dado no tópico anterior, o operador seria, então, a empresa de serviços call center contratada pelo banco.

Responsabilidades do operador

Então, podemos definir como papel do operador na LGPD os pontos a seguir.

  • Realizar o tratamento de dados pessoais segundo as instruções fornecidas pelo controlador;
  • Manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação de dados pessoais;
  • Manter registros das operações de tratamentos de dados pessoais que realizar;
  • Observar as boas práticas e padrões de governança previstos na LGPD.

Além disso, o operador possui liberdade para usar o seu conhecimento técnico a fim de decidir como melhor executar as atividades em nome do controlador.

Contudo, ressaltamos novamente, ele não toma decisões sobre o que é feito com esses dados pessoais.

Assim, o operador pode decidir sobre:

  • sistema, método ou ferramentas utilizadas para coletar os dados pessoais;
  • meios utilizados para transferir os dados pessoais de uma organização para outra;
  • métodos utilizados para recuperar dados pessoais de determinados indivíduos;
  • maneira de garantir que o método por trás do cronograma de retenção seja respeitado;
  • meio de garantir a segurança dos dados;
  • método de armazenamento de dados pessoais.

Qual é o papel do Encarregado?

Por fim, o encarregado é o profissional indicado pelo controlador para atuar como canal de comunicação entre o próprio controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Em síntese, o encarregado é o profissional que auxilia a organização a adaptar seus processos à LGPD.

Comparando a LGPD com a lei europeia, o encarregado é a figura equivalente ao DPO, ou Data Protection Officer.

É importante notar que a lei não define o encarregado como um agente de tratamento, como no caso do controlador e do operador. Contudo, esse deve atuar em conjunto com os outros dois agentes.

A lei também não determina que o encarregado responda legalmente. Ou seja, entende-se que cabe ao controlador a fiscalização desse profissional, tendo responsabilidade em caso de incidentes.

O que a lei deixa claro, no entanto, é que a identidade e as informações de contato do encarregado devem ser divulgadas publicamente, preferencialmente no sítio eletrônico do controlador.

Responsabilidade do encarregado

De acordo com a lei, o papel do encarregado LGPD consiste em:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Por fim, a LGPD ainda deixa claro que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado.

Como se tornar um especialista em privacidade e proteção de dados?

Com a vigência cada vez mais próxima da LGPD, muitas organizações têm se preocupado em adaptar-se o mais breve possível.

Para isso, portanto, também devem estar prontas para distribuir as funções internamente dentro do programa de privacidade e proteção de dados, como o do encarregado.

Para realizar o papel de encarregado com êxito são precisos diversos conhecimentos, como em gestão de dados pessoais, segurança da informação e na própria LGPD, por exemplo.

A EXIN, empresa de certificações reconhecida no mercado de TI, conta com um programa de qualificações voltado especialmente para os profissionais que desejam ter esse conhecimento e compreensão na prática profissional.

Dentro desse programa ela oferece certificações a vários níveis, buscando preparar profissionais e organizações para a adequarem-se às normas da LGPD.

Para o controlador e operador é importante contar com um encarregado que possua principalmente estas duas certificações:

A primeira, em Privacy and Data Protection Essentials (PDPE), valida os fundamentos básicos de privacidade e proteção de dados e conhecimentos sobre a LGPD.

A segunda certificação, em Privacy and Data Protection Practitioner (PDPP), valida o conhecimento sobre a GDPR e o aplica à prática profissional.

Já para adquirir o título de encarregado, ou DPO, pela EXIN, o profissional deverá possuir três certificações, sendo elas:

  1. Information Security Foundation (ISFS)
  2. Privacy and Data Protection Foundation (PDPF)
  3. Privacy and Data Protection Practitioner (PDPP)

Agora que você conhece os papéis de controlador, operador ou encarregado, prepare-se para estar de acordo com a LGPD com os cursos do Certifiquei e tire sua certificação o quanto antes.

Denis Zeferino
Denis Zeferino
Denis Zeferino é Data Protection Officer (DPO) certificado pela EXIN. Bacharel em Ciência da Computação e pós-graduado em Gestão de Infraestrutura de TI, Segurança da Informação e Cybersecurity. Tem mais de 15 anos de experiência, conciliando sua vida profissional entre o universo da Tecnologia e Segurança da Informação e da Educação. É membro da Associação Nacional dos Profissionais de Privacidade de Dados e dedicado a levar o entendimento da LGPD e Proteção de Dados aos alunos do Certifiquei.

relacionadas