Controlador e operador de dados pessoais são duas figuras fundamentais no GDPR. Neste artigo, vamos dizer quais funções eles têm e qual é a diferença entre esses dois conceitos.
Privacidade e GDPR? Quem é o controlador e quem é o operador?
A compreensão dos conceitos de “controlador” e “operador” é fundamental para um adequado processo de proteção de dados. Apesar de ainda dependermos de uma orientação mais aprofundada pela Autoridade Nacional (ANPD) sobre o papel de cada agente de tratamento, podemos extrair alguns conceitos a partir do que o GDPR (regulamento da União Europeia) define sobre o tema.
Se você já se perguntou quem é o controlador de dados e quem é o operador, quais funções eles têm e quais diferenças existem … bem, você está no lugar certo.
Vamos tentar esclarecer de uma vez por todas. Acompanhe!
Quem é o controlador de dados?
Conforme o GDPR, o controlador é o agente de tratamento responsável por tratar os dados em conformidade com a lei. É quem determina a finalidade do tratamento. Isso inclui: quais dados serão coletados; de quem os dados serão coletados, quando haverá uma justificativa para não notificar os titulares de dados ou buscar o seu consentimento, quanto tempo os dados serão armazenados e outras definições.
É também obrigação do controlador assegurar que terceiros contratados como operadores respeitem a lei, prevendo garantias suficientes para implementar o tratamento com medidas técnicas e organizacionais que garantam os requerimentos do GDPR e assegure a proteção dos direitos dos titulares de dados.
O controlador vai ser a entidade que aparece perante os titulares de dados e que supre as informações por eles questionadas. Em suma, o titular é legalmente responsável pela observação e aplicação prática das obrigações estabelecidas pela legislação, tanto nacional como internacional, em matéria de proteção de dados pessoais.
Algumas obrigações do controlador de dados:
- tratamento de dados de forma lícita, correta e transparente para o interessado;
- obtenção do consentimento do interessado nos casos previstos;
- informar os interessados de forma correta e transparente;
- adotar as medidas técnicas adequadas para assegurar, desde a fase de concepção, a proteção dos direitos do titular dos dados;
- manter o registro dos tratamentos;
- fornecer instruções e treinar a equipe;
- documentar a violação de dados pessoais, notificar e comunicá-los aos interessados nos casos previstos.
Veja um exemplo na prática das funções do controlador de dados
Como exemplo, se um hospital tem um formulário online para informações sobre saúde, mesmo se o formulário for provido por um terceiro, o hospital (que determina quais dados serão coletados) será o controlador. Se o formulário é gerenciado por um terceiro que tem certa autonomia sobre o design da formatação e sobre quais categorias de dados serão coletados, então esse terceiro pode vir a ser um co-controlador.
É do controlador a responsabilidade por proteger o tratamento de dados pessoais através da implementação de medidas técnicas e organizacionais que assegurem e demonstrem que o tratamento está sendo realizado em conformidade com a GDPR. Essas medidas podem ser chamadas como medidas de controle e devem ser aplicadas em resposta a riscos calculados, ser documentada claramente, e ser monitorada de forma recorrente para garantir sua efetividade.
Implementar formas de controle é papel do controlador
Implementar formas apropriadas de controle faz parte do papel do controlador a fim de estabelecer a proteção de dados “by design” e “by default”. Isto quer dizer que estabelecer a mais segura forma de tratamento de dados pessoais deve ser feita tanto na hora de determinar as finalidade do tratamento, quanto na hora de propriamente executá-lo.
Além disso, a criação de um DPIA (Data Protection Impact Assessment ou Relatório de Impacto à Proteção de Dados) é de responsabilidade do controlador, não podendo ser atribuída a um operador. De qualquer forma, o controlador deve consultar o operador, se os planos de tratamentos podem ser implementados, e que as medidas serão efetivas.
É também possível que dois ou mais controladores possam conjuntamente determinar os propósitos e finalidades do tratamento de dados pessoais, estando definidos como co-controladores. Neste caso, uma empresa deverá conjuntamente com a outra organização, definir as responsabilidades de cada uma para garantir a conformidade com o GDPR. Independentemente do que constar no contrato entre co-controladores, o titular dos dados pode exercer os direitos que lhe confere a GDPR em relação a cada um dos responsáveis pelo tratamento.
Quem é o operador de dados?
Já o operador realizará as atividades de tratamento de dados, sempre em nome do controlador. É aquela organização contratada pelo controlador para exercer determinada função.
Os contratos entre controladores e operadores têm um número específico de definições obrigatórias que estão dispostas no “Article 28” da GDPR. Além disso, as Autoridades Supervisoras (tais como a ANPD do Brasil), podem ainda definir cláusulas-padrão para essa espécie de contratação.
Na sua função, o controlador não precisa definir todo e qualquer elemento de como os dados serão tratados e deverá confiar que o operador garanta um tratamento seguro de dados pessoais.
Por exemplo, espera-se que o operador seja responsável pelos seguintes elementos:
- (i) os sistemas de TI;
- (II) como os dados são armazenados;
- (iii) como os dados são transferidos de uma organização para a outra;
- (iv) métodos de garantir que o descarte de dados seja efetivo, entre outros.
Operadores devem ser livres para definir sobre essas questões. Além disso, operadores estão restritos a subcontratar outros operadores sem uma específica e escrita autorização do controlador. Isso assegura que o controlador tenha um controle sobre a cadeia de custódia dos dados pessoais.
Ainda, trazendo um ponto sobre a responsabilidade civil de cada uma deles, a lei brasileira (LGPD) traz no artigo 42 que “(…) o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”. Ou seja, ambos têm responsabilidade pelo tratamento de dados, cada qual com as suas distintas obrigações, a serem definidas contratualmente.
Conclusão
Por fim, verifica-se que o controlador e o operador de dados têm obrigações distintas que estão claramente definidas no GDPR. O operador deve se atentar para cumprir somente as funções que se encaixem no seu papel. Havendo alguma ingerência a mais sobre o tratamento de dados, poderá vir a ser equiparado a controlador e ter obrigações bem mais rígidas para fins de cumprimento ao regulamento europeu.
