Entenda as figuras do 'Controlador'
e do 'Operador', que devem zelar pelo cumprimento da lei e tratar os dados pessoais
Continuando nosso estudo sobre a Lei
Geral de Proteção de Dados – Lei 13.709/18 (LGPD) – vide artigos anteriores –
passemos para a análise de mais alguns de seus aspectos.
Vimos que a LGPD se aplica a
qualquer pessoa, seja natural ou jurídica, de direito público ou privado, que
realize o tratamento de dados pessoais, online ou off-line, abarcando,
portanto, inúmeras situações do cotidiano comercial.
Sua aplicação se dá em todo
território nacional e também apresenta efeitos extraterritoriais, atingindo não
apenas as empresas que possuam estabelecimento no país, como também as que
ofereçam serviço ao consumidor brasileiro ou coletem dados de pessoas
localizadas no Brasil.
A elaboração da lei se deu baseada
em alguns princípios, que destacamos a seguir:
FINALIDADE: O tratamento dos dados
pessoais deve visar propósitos legítimos, específicos, explícitos e informados
ao titular, sem possibilidade de tratamento posterior que não obedeça às
finalidades declaradas;
ADEQUAÇÃO: Trata-se de desdobramento
do princípio anterior no que tange à compatibilidade do tratamento dos dados
com as finalidades informadas ao titular, conforme o contexto do tratamento;
NECESSIDADE: O tratamento de dados
deve limitar-se ao mínimo necessário para o atingimento de suas finalidades,
com a utilização pertinente dos dados do titular, sendo vedado seu uso
desproporcional ou excessivo;
LIVRE ACESSO: Trata-se da garantia
aos titulares de consultar gratuitamente a forma, duração e integridade do
tratamento de seus dados;
QUALIDADE DOS DADOS: Garantia dada
aos titulares de exatidão, clareza, relevância e atualização de seus dados
pessoais;
TRANSPARÊNCIA: Garantia dada aos
titulares de que as informações sobre o tratamento de dados serão claras,
precisas e facilmente acessíveis
SEGURANÇA: Diz respeito a utilização
de medidas técnicas e administrativas que protejam os dados pessoais de acessos
não autorizados por seus titulares e de ações acidentais ou criminosas, tais
como: destruição, perda, alteração, comunicação ou difusão de dados;
PREVENÇÃO: Dever das empresas ou dos
professionais encarregados do tratamento de dados pessoais dos clientes de
adotarem medidas que visem a prevenção de ações que acarretem dano ao cidadão,
advindos do tratamento indevido de dados;
NÃO DISCRIMINAÇÃO: Vedação de tratamento
de dados que objetivem fins discriminatórios, ilícitos ou abusivos;
RESPONSABILIZAÇÃO: Necessidade de o
agente demonstrar a tomada de medidas eficazes e capazes de comprovar a fiel
observância das normas da LGPD, responsabilizando-se por qualquer
irregularidade que eventualmente ocorra.
?Nesse contexto, a LGPD
apresenta-nos novos sujeitos que deverão estar presentes no cotidiano da
atividade econômica, impostos pela nova lei para a verificação, fiscalização e
responsabilização do tratamento de dados pessoais. O primeiro trata-se do
Titular, que em verdade não é novo, mas é o principal. Conforme o art. 5º, V,
Titular é toda pessoa natural a quem se referem os dados pessoais que são
objetos do tratamento.
No ponto dos Agentes de Tratamento
(art. 5º, IX), somos apresentados às figuras do Controlador e Operador.
Entende-se por Controlador qualquer
pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais (art. 5º VI) e indicação do
Encarregado ou Data Protection Officer, profissional que deverá zelar pelo
cumprimento das regras previstas na lei, orientando os funcionários e
contratados acerca das práticas a serem adotadas; recepcionando e atendendo as
demandas dos Titulares e interagindo com a Autoridade Nacional de Proteção de
Dados.
O Operador será qualquer pessoa
natural ou jurídica, de direito público ou privado, que realizar o tratamento
de dados pessoais em nome do Controlador (art. 5º, VII).
A legislação também nos apresenta
duas novas obrigações por parte daqueles que desempenham atividade econômica e
armazenam dados de seus clientes. O art. 5º, XIV, traz o dever de Eliminação,
ou seja, de exclusão de dado ou de conjunto de dados armazenados em banco de
dados, independentemente do procedimento empregado, após atingimento das
finalidades a que se propôs ou a pedido do Titular.
Já o art. 5º, XVII, por fim,
apresenta a necessidade da elaboração do Relatório de Impacto à Proteção de
Dados, consistente na documentação do Controlador que deverá conter a descrição
dos processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e
mecanismos de prevenção e mitigação de riscos.
Fonte: Economia IG