Entender e identificar quem é o controlador é fundamental para a adequação à LGPD
Por Andreza Sobreira Uema Oliveira e Daniel Jorge de Freitas
A Lei nº. 13.709/2018, denominada de Lei Geral de Proteção de Dados (LGPD), em seu artigo 5º, incisos VI, VII, VIII, e IX, conceitua as figuras do operador, controlador, encarregado e agentes de tratamento.
Compreender o papel de cada uma dessas figuras trazidas pela LGPD, tendo em vista suas responsabilidades e funções específicas, é fundamental para quem pretende estar adequado à LGPD.
Neste artigo vamos apresentar a figura do controlador, mas antes de apresentar a conceituação legal de cada uma destas figuras, é interessante apresentar o conceito de tratamento de dados pessoais, pois este é um termo comum entre controlador e operador.
A LGPD, em seu artigo 5º, inciso X, dispõe que tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Portanto, qualquer uma das operações acima envolvendo dados pessoais deve ser entendida como tratamento para os efeitos de aplicação da LGPD.
Voltando ao controlador, esta figura prevista no Artigo 5º, inciso VI, da LGPD é conceituada como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Deste conceito é possível extrair que o controlador pode ser alguém interno (funcionário) pessoa física, alguém externo (terceiro contratado) pessoa física ou jurídica, de direito público ou privado.
É o controlador o responsável pelas decisões referentes ao tratamentos de dados pessoais tais como planos de ação acerca da proteção, privacidade e segurança dos dados, bem como pelo plano de resposta a incidentes.
Mas sua função não se limita apenas a isso, pois a LGPD estabelece que é papel do controlador fornecer documentação que contenha a descrição dos processos de tratamento de dados pessoais que eventualmente possam gerar riscos às liberdades civis e aos diretos fundamentais e demais medidas necessárias a mitigação de riscos, o denominado relatório de impacto à proteção de dados pessoais (RIPD).
Deverá ainda atentar-se na obtenção do consentimento adequado do titular de dados, conforme exigido pela LGPD para o tratamento dos dados pessoais, destacando que no caso de tratamento de dados de menores deverá obter consentimento específico e em destaque dado por um dos pais ou responsável legal, sendo vedado, ao controlador condicionar a participação do titular em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
Outra função importante do controlador é o dever de responder ao titular dos dados, a qualquer momento e mediante requisição do titular, bem como comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Por fim, vale lembrar que o controlador está sujeito a responder civil, criminalmente e administrativamente por violações às disposições da LGPD, de forma que a correta identificação de quem é o operador, conhecer as suas funções e realizá-las é fundamental para estar de acordo com a LGPD.
Quer saber mais sobre como a Adequa Integridade pode ajudar a sua empresa a se adequar à LGPD?
Entre em contato através do e-mail contato@adequaintegridade.com.br ou através do WhatsApp (11) 98035-4256.
Quer ter acesso ao conteúdo integral da Portaria nº 01/2021?
Acesse: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm