Quais as diferenças entre Controlador e Operador de Dados Pessoais no GDPR?

A compreensão dos conceitos de “controlador” e “operador” é fundamental para um adequado processo de proteção de dados. Apesar de ainda dependermos de uma orientação mais aprofundada pela Autoridade Nacional (ANPD) sobre o papel de cada agente de tratamento, podemos extrair alguns conceitos a partir do que o GDPR (regulamento da União Europeia) define sobre o tema.

Conforme a GDPR, o controlador é o agente de tratamento responsável por tratar os dados em conformidade com a lei. É quem determina a finalidade do tratamento. Isso inclui quais dados serão coletados, de quem os dados serão coletados, quando haverá uma justificativa para não notificar os titulares de dados ou buscar o seu consentimento, quanto tempo os dados serão armazenados e outras definições. 

É também obrigação do controlador assegurar que terceiros contratados como operadores respeitem a lei, prevendo garantias suficientes para implementar o tratamento com medidas técnicas e organizacionais que garantam os requerimentos do GDPR e assegure a proteção dos direitos dos titulares de dados. 

O controlador vai ser a entidade que aparece perante os titulares de dados e que supre as informações por eles questionadas. Como exemplo, se um hospital tem um formulário online para informações sobre saúde, mesmo se o formulário for provido por um terceiro, o hospital (que determina quais dados serão coletados) será o controlador. Se o formulário é gerenciado por um terceiro que tem certa autonomia sobre o design da formatação e sobre quais categorias de dados serão coletados, então esse terceiro pode vir a ser um co-controlador. 

É do controlador a responsabilidade por proteger o tratamento de dados pessoais através da implementação de medidas técnicas e organizacionais que assegurem e demonstrem que o tratamento está sendo realizado em conformidade com a GDPR.  Essas medidas podem ser chamadas como medidas de controle e devem ser aplicadas em resposta a riscos calculados, ser documentada claramente, e ser monitorada de forma recorrente para garantir sua efetividade. 

Implementar formas apropriadas de controle faz parte do papel do controlador a fim de estabelecer a proteção de dados “by design” e “by default”. Isto quer dizer que estabelecer a mais segura forma de tratamento de dados pessoais deve ser feita tanto na hora de determinar as finalidade do tratamento, quanto na hora de propriamente executá-lo.

Além disso, a criação de um DPIA (Data Protection Impact Assessment ou Relatório de Impacto à Proteção de Dados) é de responsabilidade do controlador, não podendo ser atribuída a um operador. De qualquer forma, o controlador deve consultar o operador, se os planos de tratamentos podem ser implementados, e que as medidas serão efetivas. 

É também possível que dois ou mais controladores possam conjuntamente determinar os propósitos e finalidades do tratamento de dados pessoais, estando definidos como co-controladores. Neste caso, uma empresa deverá conjuntamente com a outra organização, definir as responsabilidades de cada uma para garantir a conformidade com o GDPR. Independentemente do que constar no contrato entre co-controladores, o titular dos dados pode exercer os direitos que lhe confere a GDPR em relação a cada um dos responsáveis pelo tratamento.

Já o operador realizará as atividades de tratamento de dados, sempre em nome do controlador. É aquela organização contratada pelo controlador para exercer determinada função. 

Os contratos entre controladores e operadores têm um número específico de definições obrigatórias que estão dispostas no “Article 28” da GDPR. Além disso, as Autoridades Supervisoras (tais como a ANPD do Brasil), podem ainda definir cláusulas-padrão para essa espécie de contratação. 

Na sua função, o controlador não precisa definir todo e qualquer elemento de como os dados serão tratados e deverá confiar que o operador garanta um tratamento seguro de dados pessoais. Por exemplo, espera-se que o operador seja responsável pelos seguintes elementos: (i) os sistemas de TI; (II) como os dados são armazenados; (iii) como os dados são transferidos de uma organização para a outra; (iv) métodos de garantir que o descarte de dados seja efetivo, entre outros. 

Operadores devem ser livres para definir sobre essas questões. 

Além disso, operadores estão restritos a subcontratar outros operadores sem uma específica e escrita autorização do controlador. Isso assegura que o controlador tenha um controle sobre a cadeia de custódia dos dados pessoais. 

Ainda, trazendo um ponto sobre a responsabilidade civil de cada uma deles, a lei brasileira (LGPD) traz no artigo 42 que “(…) o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”. Ou seja, ambos têm responsabilidade pelo tratamento de dados, cada qual com as suas distintas obrigações, a serem definidas contratualmente.

Por fim, verifica-se que o controlador e o operador de dados têm obrigações distintas que estão claramente definidas no GDPR. O operador deve se atentar para cumprir somente as funções que se encaixem no seu papel. Havendo alguma ingerência a mais sobre o tratamento de dados, poderá vir a ser equiparado a controlador e ter obrigações bem mais rígidas para fins de cumprimento ao regulamento europeu. 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Veja mais insights do slap.LAW