Com a entrada em vigor da Lei Geral de Proteção de Dados, novas figuras passaram a fazer parte do nosso dia a dia dentro das empresas ou organizações.
A LGPD ao se referir a estas figuras utiliza o termo “Agentes de tratamento” seja para o controlador ou para o processador como sujeitos responsáveis pelo exercício do tratamento de dados.
Os Agentes de tratamento (controlador e processador) podem ser pessoas naturais ou pessoas jurídicas, de direito público ou privado, mas que possuem diferenças quanto ao seu papel na tomada de decisões referente ao tratamento dos dados.
De uma maneira resumida e prática, podemos dizer que, o controlador é o sujeito a quem compete a tomada de decisões referente ao tratamento: finalidade, condições e meios de processamento de dados pessoais. Já ao processador compete realizar em nome do controlador o tratamento de dados.
A título de ilustração, empresas que oferecem serviços de telemarketing__, possuem provavelmente banco de dados próprio ou contratam serviços de mailing list__; A empresa de telemarketing contrata uma empresa especializada e responsável apenas pela discagem. Neste exemplo a empresa de telemarketing é a controladora dos dados pessoais, pois é ela que determina e toma as decisões referente ao tratamento dos dados, sendo que a empresa de discagem, será a processadora, pois armazena os dados e os utiliza na forma requerida pela controladora.
A partir do exemplo, concluímos que o controlador deve:
- Determinar o objetivo das atividades de tratamento;
- Implementar medidas técnicas e organizacionais para garantir proteção dos dados;
- Implementar políticas, normas e procedimentos apropriados;
- Implementar os princípios de proteção por design e por padrão;
- Garantir que o processador cumpra as regras da LGPD, e notificar qualquer violação de dados pessoais à autoridade supervisora.
Já o processador, concluímos que:
- Executa apenas atividades de processamento ‘sob controle’ de um controlador;
- Garante a confidencialidade, segurança e proteção dos dados, tomando todas as medidas referente a segurança do processamento; e
- Determina aspectos técnicos e sistemas usados para o processamento.
Já o Data Protection Officer (DPO) ou encarregado é o profissional com conhecimentos especializados em direito e práticas em matéria de proteção de dados e deve auxiliar o controlador ou o processador a monitorar a conformidade interna da LGPD, sendo, ele o responsável pela comunicação entre controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), devendo mediar a relação entre controlador e a autoridade.
Assim, o encarregado (DPO), deverá atuar:
- Informando e aconselhando o controlador ou o processador e seus funcionários ou parceiros que realizam o processamento, sobre suas obrigações em relação a LGPD;
- Monitorar de forma independente a conformidade com a Lei, e fornecer informações, orientações e cooperar com as autoridades.
O DPO, deve incansavelmente atuar na conscientização de todos os envolvidos no processamento, se tornando peça principal no que diz respeito a Lei Geral de Proteção de Dados.
