Dando sequência aos principais esclarecimentos sobre a Lei nº 13.709 de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD), desta vez vamos trazer alguns esclarecimentos sobre o que é o tratamento de dados e o que faz um agente de tratamento de dados.
Tratamento de dados é toda operação realizada com dados pessoais, englobando tudo o que possa ser feito com dados pessoais, da coleta ao descarte dessas informações.
A LGPD menciona diversas atividades relacionadas ao tratamento de dados, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
E quem são os agentes de tratamento de dados? Os agentes de tratamento de dados são o CONTROLADOR e o OPERADOR.
O CONTROLADOR é a pessoa natural ou jurídica (empresa), seja de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Em outras palavras, o CONTROLADOR determina as finalidades e as maneiras de tratamento de dados pessoais, ou seja, controla tanto os motivos quanto os métodos de atividades de tratamento. Já o OPERADOR é definido pela LGPD como a pessoa natural ou jurídica (terceiro ou prestador de serviços), de direito público ou privado, que realiza o tratamento de dados em nome do CONTROLADOR. O OPERADOR realiza o tratamento de dados pessoais conforme instruções recebidas pelo CONTROLADOR.
Existem hipóteses de um mesmo agente ser OPERADOR e CONTROLADOR, ao mesmo tempo, seja de forma isolada seja de forma simultânea.
Faz-se fundamental distinguir quando uma empresa está na condição de CONTROLADOR ou de OPERADOR, para que seja possível auferir os limites de sua responsabilidade.
Dentro do rol de pessoas ligadas ao tratamento de dados há também a figura ENCARREGADO, popularmente conhecido como DPO (Data Protection Officer). O DPO é a pessoa indicada pelo CONTROLADOR para atuar como um canal de comunicação entre o CONTROLADOR, os titulares de dados e a Autoridade Nacional de Proteção de Dados. A lei exige que a identidade e as informações de contato do ENCARREGADO (DPO) sejam divulgadas publicamente, de forma clara, objetiva e acessível, preferencialmente no website do CONTROLADOR. Nos termos da LGPD, as atividades do ENCARREGADO (DPO) são:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas com relação a proteção de dados pessoais;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Todo agente CONTROLADOR deve ter um ENCARREGADO de dados (DPO), ainda que de forma terceirizada.
Os agentes de tratamento, tanto o CONTROLADOR, o OPERADOR como o ENCARREGADO, podem ser responsabilizados solidariamente por um incidente de segurança de dados, tal como um vazamento ou um compartilhamento indevido, ou ainda, o uso indevido e não autorizado de dados pessoais, ou pela desconformidade com a lei. Entretanto, a responsabilidade do OPERADOR que executa tratamento de dados em nome do CONTROLADOR, e a mando deste, assim como do ENCARREGADO, pode ser limitada a suas obrigações contratuais e de segurança da informação, caso não viole as regras da LGPD.
Assim, além dos prejuízos pecuniários causados pelas punições, matéria que trataremos em um próximo artigo, a questão que aqui queremos destacar é a necessidade de uma atenção especial ao fato de que os agentes (CONTROLADOR, OPERADOR e ENCARREGADO – DPO) possuem responsabilidade civil e criminal pelo tratamento de dados que realizarem, e poderão ser acionados judicialmente, por meio de ação de reparação de danos, caso ocorram danos patrimoniais ou morais de forma individual ou coletiva, ou ainda, se os atos praticados no tratamento de dados forem caracterizados como crime previsto em lei.
Como é possível constatar, a adequação das empresas à LGPD é essencial para a mitigação de riscos, sejam eles administrativos, comerciais, jurídicos ou judiciais.
Embora a aplicação das penalidades tenha sido postergada para contar a partir de agosto de 2021, é de suma importância que se esclareça que a adequação e conformidade com a LGPD requerem o desenvolvimento de um longo programa o que pode se prolongar por meses. É essencial que todo agente, em especial, empresas e profissionais autônomos busquem serviços especializados para avaliação, implementação e validação do Programa de Adequação da Lei Geral de Proteção de Dados - LGPD.
