Relação Controlador x Titular x Operador

Você já se perguntou quem são os principais personagens da LGPD? 

Temos aqui um exemplo básico e simples de visualizar e, a partir dele, começamos nosso artigo conceituando cada um de maneira simples.

Imagine um Call Center que presta serviço de cobrança para um banco X: quem é o controlador, operador e titular? Antes de respondermos isso, que tal entendermos os conceitos?

Começando pelo Titular. É importante destacar que a LGPD garante ao titular a autodeterminação informativa, isto é, confere a ele mais segurança e bases informativas sobre o que é feito com seus dados e por quem. 

O titular tem direito a obter do controlador, a qualquer momento e mediante requisição: a) a confirmação da existência de tratamento; b) o acesso aos dados para: a correção de dados incompletos, inexatos ou desatualizados, a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; c) a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa; d) a eliminação dos dados pessoais tratados com o consentimento do titular; e) a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, dentre muitos outros direitos.

Já o operador é um subordinado do controlador na cadeia de tratamento de dados pessoais, podendo ser uma pessoa natural ou jurídica, de direito público ou privado. O operador atuará como um parceiro técnico do controlador, que não controla os dados e não pode alterar a finalidade ou o uso do conjunto particular de dados relacionados a determinado tratamento, devendo tratar tais dados de acordo com as instruções e dentro das finalidades definidas e impostas pelo controlador.

Apesar de o operador atuar em nome do controlador e obedecendo as suas decisões, é comum que o controlador de dados conceda ao agente operador um certo grau de liberdade sobre o processo de tratamento, permitindo que exerça controle sobre o modo com que os dados serão tratados, como por exemplo, quais sistemas de tecnologia da informação (TI) ou quais métodos serão utilizados para coletar dados pessoais; o sistema de segurança envolvendo o armazenamento e guarda dos dados pessoais etc.

E por último, o papel do controlador, que pode ser pessoa natural ou jurídica, de direito público ou privado, é aquele que ditará de que forma será tratado o dado coletado do titular, sempre em observância aos dispositivos da LGPD. 

Por ser o controlador, ele detém o monopólio do poder decisório sobre os dados, e possui todo o ônus de garantir transparência e comunicação ao titular dos dados durante todo o ciclo de uso da informação coletada, além de orientar o operador sobre a forma como deverá desempenhar suas atividades de tratamento. 

Dessa forma, o controlador não apenas representa a figura central na proteção dos direitos dos titulares, mas também exerce funções importantes para a cadeia de tratamento de dados, sendo dois dos seus principais deveres: elaboração de relatório de impacto à proteção de dados pessoais e a nomeação de um encarregado pelo tratamento de dados pessoais para atuar como meio de comunicação entre o controlador e os titulares, além de muitas outras atividades essenciais. 

Em resumo, a definição dos papéis de agentes de tratamento deve ocorrer na prática.

E do caso do call center e banco? Conseguiu identificar quem é quem? O call center são os operadores de dados pessoais, o banco X é o controlador (que define os limites de tratamento desses dados) e você é o cliente, ou seja, o titular dos dados.

REFERÊNCIAS:

LEONARDI, Marcel. Por Controladores e operadores: papéis, distinções, mitos e equívocos.

https://www.migalhas.com.br/depeso/326741/descomplicando–agentes-de-tratamento



adequação-lgpd-lei-dados

O Protagonismo do titular de dados

Com a Lei Geral de Proteção de Dados a todo vapor no Brasil, além de todo o trabalho de governança, mudança cultural e conscientização, devemos dar atenção maior também à um membro desta relação que vem com poder robusto de protagonismo: o titular de dados.

É sabido que o titular de dados passa a ser um membro da relação prevista na Lei, a partir do momento que ele fornece à determinada empresa ou pessoa com fins econômicos, seus dados a fim de obter a compra de um produto ou serviço.

Desde o momento em que se tem a disponibilização de dados identificáveis daquela pessoa física, a relação está sob a luz da LGPD, trazendo assim, para aquela empresa que agora figura como controlador, a necessidade de se adequar conforme diretrizes da Lei.

A própria Lei já conta com uma definição de quem é o titular na LGPD, em seu artigo 5º, inciso V, descrevendo que se trata de pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, ou seja, ele é o dono.

Além disso, a LGPD traz ao titular uma proteção e a autodeterminação informativa nunca antes visto em nenhum diploma legal. Embora tenhamos algumas leis esparsas, como por exemplo, o clássico Código de Defesa do Consumidor, onde se tem a proteção do consumidor hipossuficiente frente à uma empresa fornecedora de produtos ou serviços, a LGPD traz um novo patamar ao titular, não se comparando devido à amplitude e magnitude trazida em seus artigos.

Nota-se, que a Lei por diversas vezes traz a necessidade do acesso facilitado às informações sobre o tratamento de seus dados, a clareza na passagem de informações no atendimento com o titular, devido ao princípio do livre acesso.

Há um capitulo exclusivo apenas para a autodeterminação informativa, intitulado “Dos direitos do Titular”, onde se traz oito incisos, corroborado com mais diversos parágrafos para suplementar esses direitos.

Dentre os direitos descritos na Lei, há a confirmação da existência do tratamento, acesso aos dados tratados, correção e eliminação de dados desnecessários, a portabilidade daqueles dados, a revogação do seu consentimento e informação sobre o compartilhamento daqueles dados.

Não obstante, o titular está em diversas seções, como por exemplo, no artigo Art. 7º, que trata sobre o tratamento de dados pessoais. Ressalto que, este capítulo trata sobre as bases legais do tratamento, ou seja, as “justificativas” da empresa (ou pessoa física que esteja tratado os dados para fins econômicos) para poder tratar aqueles dados.

E mesmo nesse capítulo, que em tese, é direcionado aos controladores dos dados, há espaço garantido para a intervenção do titular. Por exemplo, há menção do consentimento do titular, base legal muito discutida na doutrina, pois se tem uma base legal vulnerável, haja vista a possibilidade do consentimento ser revogado a qualquer momento pelo titular.

Na mesma seção, há também a possibilidade de tratamento com base na execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular ou em casos para a proteção da vida ou da incolumidade física do titular. Veja-se que, o titular aparece em peso novamente, sempre pautando a base legal no maior interesse do titular.

Ainda assim, neste mesmo capítulo, há a referência do titular ponderando seus direitos e liberdades. Isso porque, há a base legal de tratamento do controlador da hipótese de quando for necessário para atender aos interesses legítimos do dele próprio, no entanto, desde que não prevaleça os direitos e liberdades fundamentais do titular.

Fica cristalina a evidencia de que, o titular de dados tem um protagonismo na Lei, de forma com que o controlador deve se preocupar. Isso porque, a qualquer momento o titular de um dos dados que você trata, pode vir até você e te pegar de surpresa, utilizando as garantias dispostas em Lei.

Por isso, ainda que as sanções administrativas entrem em vigência apenas em agosto de 2021, há grande necessidade das empresas se adequarem “pra ontem” seus processos, para conseguir atender à contento uma solicitação de titular, caso aconteça.

Vale lembrar ainda que, o judiciário já vem se posicionando e decidindo, bem como outros órgãos prontos para executar a Lei Geral de Proteção de Dados, uma vez que a Lei prevê a possibilidade da ANPD articular com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados (artigo 55-K, § único).

Mikaelly Bianca de Oliveira
Encarregada de Dados da Unimed de Assis
Bacharela pela Fundação Educacional do Município de Assis – FEMA

 

Pós graduanda em Direito Digital e Compliance – UNIVEM
E-mail: mikaelly.oliveira@unimed-assis.com.br
@mikaellybiancaoliveira
@unimedassisoficial
Linkedin

 



Conceitos e Fundamentos chave da LGPD

Para entendermos os conceitos e fundamentos da LGPD como um todo, precisamos conhecer o artigo 5º, que é um dos seus artigos mais importantes. Então, iremos trazer aqui os principais conceitos e fundamentos para que possamos entender seus significados.

DADO PESSOAL – é a informação relacionada a toda pessoa natural, ou seja, a informação que possa levar a identificação da pessoa, como por exemplo, nome completo, número de CPF, endereço, filiação, etc.

TITULAR – é o indivíduo ou pessoa natural a quem se referem os dados pessoais que estão sendo tratados. O titular tem capacidade de consentir, ou não, com o tratamento de seus dados.

CONSENTIMENTO – é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, ou seja, é a permissão dada pelo titular para que determinados dados pessoais sejam tratados, devendo ser o pedido de forma explícita, clara e transparente pelo operador ou controlador, e se referir a uso específico e limitado.

Em casos em que os dados pessoais se tornarem manifestamente públicos pelo titular, exigir o consentimento deixa de ser obrigatório, mas, nesses casos, os direitos do titular previstos pela LGPD em relação a essas informações permanecem. Os dados coletados sem consentimento podem ser utilizados apenas para os fins específicos determinados no artigo 7º da LGPD.

TRATAMENTO DE DADOS – é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Portanto, podemos entender que tratamento de dados pessoais compreende o ciclo completo de uma ação realizada com um dado pessoal, começando na sua coleta e terminando na exclusão ou na sua anonimização.

Logo mais traremos outros conceitos e fundamentos do artigo 5o da LGDP, acompanhem nossas postagens!