Como saber se sou Controlador ou Operador? E quais as responsabilidades de cada um?

Imagine um Call Center que presta serviço de cobrança para um banco X: quem é o controlador, operador e titular? Antes de respondermos isso, que tal entendermos os conceitos?

         O operador é um subordinado do controlador na cadeia de tratamento de dados pessoais, podendo ser uma pessoa natural ou jurídica, de direito público ou privado. O operador atuará como um parceiro técnico do controlador, que não controla os dados e não pode alterar a finalidade ou o uso do conjunto particular de dados relacionados a determinado tratamento, devendo tratar tais dados de acordo com as instruções e dentro das finalidades definidas e impostas pelo controlador.

         Apesar de o operador atuar em nome do controlador e obedecendo as suas decisões, é comum que o controlador de dados conceda ao agente operador um certo grau de liberdade sobre o processo de tratamento, permitindo que exerça controle sobre o modo com que os dados serão tratados, como por exemplo, quais sistemas de tecnologia da informação (TI) ou quais métodos serão utilizados para coletar dados pessoais; o sistema de segurança envolvendo o armazenamento e guarda dos dados pessoais etc.

         Já o controlador, que pode ser pessoa natural ou jurídica, de direito público ou privado, é aquele que ditará de que forma será tratado o dado coletado do titular, sempre em observância aos dispositivos da LGPD. Por ser o controlador, ele detém o monopólio do poder decisório sobre os dados, e possui todo o ônus de garantir transparência e comunicação ao titular dos dados durante todo o ciclo de uso da informação coletada, além de orientar o operador sobre a forma como deverá desempenhar suas atividades de tratamento.

         Desta forma, o controlador não apenas representa a figura central na proteção dos direitos dos titulares, mas também exerce funções importantes para a cadeia de tratamento de dados, sendo dois dos seus principais deveres: elaboração de relatório de impacto à proteção de dados pessoais e a nomeação de um encarregado pelo tratamento de dados pessoais.

De acordo com o art. 42 da LGPD: “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.” Ou seja, a responsabilidade de cada um está presente neste artigo de forma a assegurar mais uma vez a proteção ao titular. 

Ainda dentro do art. 42, I – “o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei”; II – “os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.”

De acordo com a lei, as únicas hipóteses em que o operador e o controlador não serão responsabilizados, de acordo com o art. 43, será  quando provar: I – “que não realizaram o tratamento de dados pessoais que lhes é atribuído”; II – “que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados”; III – “que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.”

Assim, as responsabilidades serão atribuídas de forma integralmente aos agentes, caso não cumpram com o dever de seu trabalho, isso demonstra, mais uma vez, a importância de uma adequação correta e completa..

         Ah, e do caso do call center e banco? Conseguiu identificar quem é quem? O call center são os operadores de dados pessoais, pois o banco compartilhou com o Call center tais dados terceirizando o serviço de cobrança. Já o banco X é o controlador (que define os limites de tratamento desses dados) por ser o agente que coletou em primeira mão os dados do titular,  e o cliente é o titular dos dados.

 

Por Vitória Ribeiro

 

REFERÊNCIAS

https://www.migalhas.com.br/depeso/326741/descomplicando–agentes-de-tratamento

LEONARDI, Marcel. Por Controladores e operadores: papéis, distinções, mitos e equívocos.