Olhar Jurídico

Segunda-feira, 21 de junho de 2021

Artigos

Sujeitos da LGPD

Autor: Silvestre Severiano

14 Mai 2021 - 08:00

Sujeitos da LGPD
Recentemente fiz uma sequência de Lives falando sobre Privacidade e Proteção de Dados focado na lei geral de proteção de dados - LGPD e especificamente nos sujeitos da lei, ou seja, Titular, Controlador, Operador, Encarregado de proteção de dados e a Autoridade Nacional de Proteção de Dados - ANPD.

Muitas empresas estão apresentando muitas dificuldades para identificar quem é quem no momento de aplicar a lei em seu negócio.

Confusão ou deixar passar essas pessoas pode causar erro no tratamento de dados e em todo o programa de adequação a LGPD.

Neste ensaio buscarei apresentar esses indivíduos de modo mais visível em seu ambiente para trazer alguma luz para o seu programa.

Sendo assim as definições aqui apresentadas podem também ser encontrada no corpo da lei com pouca variação.

Titular de dados é pessoa física a quem se refere o dado, ele pode ser conhecido no comércio também como: cliente, empregado, sócio, dono da empresa, terceirizado, estagiário, aluno, responsável, responsável financeiro, servidor público, contribuinte; se falarmos de ambiente de saúde teríamos o paciente, visitante, acompanhante, médico, enfermeira, na área imobiliária conheceríamos por inquilino, proprietário, corretor, condômino, locatário, arrendatário, morador etc.

Quero lembrar que a intenção aqui não é esgotar o assunto, porém facilitar a identificação destes personagens da lei.

Controlador é ou pode ser uma pessoa física ou jurídica, de direito público ou privado a quem compete a decisão sobre o tratamento dos dados.

Sim uma pessoa física pode ser um controlador de dados, um exemplo disso é o advogado que atua e não é uma pessoa jurídica, trabalha simplesmente como profissional liberal sem empresa formalmente estabelecida; é muito comum não se espante.

A pessoa jurídica você pode ter como exemplo uma escola, um hospital, um supermercado, uma farmácia, loja, restaurante etc.

Vou fazer uma afirmação que merece ser estudada, pois toda empresa pode ser uma controladora mesmo que somente faça negócios com outras pessoas jurídicas, B2B; uma vez que ela controla os dados de seus próprios funcionários e parceiros.

Tudo bem, esse assunto vamos abordar em uma outra situação, entretanto para identificar o controlador é preciso focar em três características bem importantes: poder de decisão, finalidade e meio de tratamento.
 
Quando se fala de decisão significa que é ele quem escolhe quando iniciar o tratamento ou quando parar, se terá sub operadores, qual empresa o auxiliará nesta empreitada, ele quem decide quando modificar e qualquer outra coisa relacionada ao tratamento de dados pessoais. O controlador também diz qual será a finalidade para coleta de dados e todo o tratamento e todas as bases legais do processo e quais processos será embarcado no tratamento; É esse também quem indica os meios de tratamento, que são as formas de coleta, as finalidades, as bases legais, o nível se segurança de informação, o tempo de armazenamento e todas as formas de resposta aos direitos do titular de dados e escolhe também o operador de dados.

Caso sua empresa tenha alguma dessas características é bem provável que ela seja uma controladora de dados.

Errado está o indivíduo que acredita que o operador é um subalterno ou empregado do Controlador, as pessoas que são empregadas do Controlador são” controladores” ou melhor dizendo são integrantes do controlador; Ex: a gerente do departamento, supervisor de pátio, coordenador operacional ou até mesmo o estagiário de uma empresa controladora nunca será operador e sim um integrante do controlador.

Bom, agora falando do verdadeiro operador; este poder ser pessoa física ou jurídica, pública ou privada que atuará sobre as orientações do Controlador.

este trabalha em defesa dos interesses do seu contratante conforme obrigações e regras estabelecidas na celebração do contrato de tratamento de dados.

Importante entender que toda contratação de operador de tratamento de dados deve ser através de contrato e com cláusulas especificas.

Ele (operador) tem por obrigação realizar o tratamento segundo contrato celebrado com o sujeito anterior, e neste momento de executar o Contrato, existe uma autonomia por parte do operador com relação as questões não essenciais do tratamento de dados, traduzindo em miúdos, ele pode escolher toda a parte técnica, o hardware, software ou time interno que realizará as funções.

Ele não define finalidade, base legal ou prazo de armazenamento; a lei de privacidade europeia entende que o operador tem obrigação de sempre auxiliar o controlador a responder as exigências do Titular.

Esse auxilio aqui falado somente acontecerá se estiver estabelecido no contrato, é bem relevante que conste isso uma vez que muitas vezes toda a parte técnica do processamento fica na mão do operador e ele pode ter as melhores condições de responder o titular em seus requerimentos, ou seja, a obrigação é do Controlador, entretanto ele dentro do contrato estabelece os parâmetros para resposta do titular, como o operador ira se envolver e como se dará o auxilio dele para que o artigo 18 da LGPD seja entregue da melhor maneira possível.

Volto a falar novamente e espero que nunca erre isso: o empregado do Operador é um membro atuante do operador de dados sempre.

Muito importante! O operador tem um dever de se manter restrito as atribuições recebidas em decorrência do contrato; e por que isso?

Caso o contratado atue fora de qualquer cláusula do contrato, a sua figura de operador pode mudar e ele se torna um controlador conjunto e isso traz deveres e responsabilidades não esperadas e junto vem multas e penalidades oriundas da lei.

Na Europa está recheado de case de empresas que foram multadas por fugirem do contrato ou por não terem um contrato que regulamenta a relação entre controlador e operador.

Sendo assim, não deixe de fazer um contrato e muito menos faça algo que não esteja em contrato.

O outro sujeito que tem uma grande expressão dentro da lei é o Encarregado de proteção de dados, este pode ser pessoa física ou jurídica que tem como função atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O encarregado muitas vezes pode ser conhecido como DPO (data protection officer) nome deste mesmo profissional em inglês, e como adoramos americanizar algumas coisas para ver se valoriza o produto neste caso não muda muito.

Este profissional pode ser um empregado que a empresa já tem, ou um ao qual ela contratou para atuar nesta posição até mesmo uma empresa que é contratada para realizar esse serviço.

O DPO tem sua função em formato consultivo, orientativo e extremamente técnico; é requerido dele que treine o time, apresente parecer em relação ao tratamento de dados da empresa e que responda as solicitações dos titulares de dados e da ANPD.

É importante que ele sempre se mantenha atualizado em relação as suas obrigações, normas e leis, não pense que para ser DPO precisa ser Advogado ou TI, esse profissional precisa surfar em várias ondas entre elas, direito, segurança da informação, gestão de projetos, liderança e o mais importante precisa ter total domínio do mercado do seu contratante.

Finalmente chegamos na Autoridade Nacional de Proteção de Dados, também conhecida como ANPD, esta tem entre muitas responsabilidades, zelar pela proteção dos dados, pela observação dos segredos comerciais e industriais.

A função educacional e consultiva é bem relevante para a autoridade uma vez que ela responderá todas as solicitações e dúvidas que levadas a ela e assim ajudará a regular a privacidade e proteção de dados no país.

A Autoridade entrou em vigor ano passado e desde lá iniciou sua estruturação; sua atuação já está acontecendo e parte disso esta ligada diretamente a sua composição e estabelecimento de membros e para o seu time.

A fiscalização em relação a infração de certa forma já iniciou, porém, as autuações, aplicações de advertências, multas e sanções somente acontecerá após o mês de agoste deste ano.

Diante de tudo que foi apresentado espera-se que consiga ver com muito mais clareza quem são esses indivíduos e quem é você no tratamento de dados; muitos outros assuntos abordaremos e mais esclarecimentos será trazido sobre esses personagens, mas agora pratique o que aprendeu e seu programa de privacidade e proteção de dados em implantação da LGPD ficará muito mais maduro.
 
 
Silvestre Severiano – Advogado, empresário, Encarregado de proteção de dados e membro da Comissão de Direito Digital da ABA/Cuiabá
Sitevip Internet