5 Obrigações dos Controladores e Operadores segundo a LGPD

5 Obrigações dos Controladores e Operadores segundo a LGPD

A Lei Geral de Proteção de Dados (LGPD) foi criada com o objetivo de regulamentar o tratamento de dados pessoais no Brasil, estabelecendo diretrizes para organizações e profissionais que lidam com essas informações. Tanto os controladores como os operadores possuem responsabilidades específicas dentro dessa regulamentação, garantindo que os dados pessoais dos titulares sejam tratados de forma segura e transparente.

Este artigo abordará cinco das principais obrigações que os controladores e operadores precisam seguir para estar em conformidade com a LGPD, ajudando empresas e profissionais a evitarem penalidades e a criarem um ambiente mais seguro para a proteção dos dados pessoais.

O que são controladores e operadores de dados?

A LGPD define dois papéis principais no tratamento de dados pessoais: o controlador e o operador. Compreender suas diferenças é essencial para garantir a conformidade legal.

Controlador de dados

O controlador é a pessoa natural ou jurídica, de direito público ou privado, que toma decisões sobre o tratamento dos dados pessoais. Em outras palavras, o controlador decide quais dados serão coletados, como serão armazenados e para quais finalidades serão utilizados.

Operador de dados

O operador, por sua vez, é a pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador, seguindo suas instruções. Embora tenha um papel de execução, o operador também possui responsabilidades dentro da LGPD.

Principais obrigações dos controladores e operadores segundo a LGPD

1. Garantir a base legal para o tratamento de dados

Todo tratamento de dados pessoais deve estar fundamentado em uma base legal prevista na LGPD. Entre as principais bases legais estão o consentimento do titular, a execução de contrato, o cumprimento de obrigação legal, a proteção da vida e o legítimo interesse.

O controlador tem a obrigação de definir a base legal adequada para cada operação de tratamento de dados, garantindo sua legalidade. O operador, por outro lado, deve seguir as determinações do controlador, assegurando que o tratamento esteja conforme a base legal escolhida.

2. Garantir a segurança e proteção dos dados

Uma das exigências fundamentais da LGPD é a adoção de medidas de segurança para proteger os dados pessoais contra acessos indevidos, vazamentos, alterações não autorizadas e demais incidentes de segurança.

O controlador deve implementar políticas e mecanismos de segurança para mitigar riscos e garantir a integridade das informações pessoais. Já o operador tem a responsabilidade de seguir essas diretrizes e reforçar as práticas de proteção de dados no processamento das informações.

3. Responder às solicitações dos titulares dos dados

Os titulares dos dados têm o direito de acessar, corrigir, excluir ou portar suas informações, conforme previsto na LGPD. O controlador deve oferecer canais acessíveis para que essas solicitações sejam feitas e atendê-las dentro dos prazos estabelecidos pela legislação.

Os operadores, ainda que não sejam obrigados a responder diretamente, devem colaborar com os controladores para garantir que essas solicitações sejam cumpridas de forma eficiente e em conformidade com a LGPD.

4. Notificar incidentes de segurança

Em caso de vazamento ou qualquer incidente que comprometa a segurança dos dados pessoais, o controlador tem a obrigação de notificar a Autoridade Nacional de Proteção de Dados (ANPD) e, quando necessário, os titulares afetados.

Os operadores, ao detectarem eventuais incidentes, devem informar imediatamente o controlador para que as medidas cabíveis sejam tomadas rapidamente, reduzindo os impactos do vazamento e garantindo o cumprimento das obrigações legais.

5. Formalizar contratos e políticas de privacidade

Outra obrigação essencial dentro da LGPD é a formalização de contratos e políticas internas relacionadas à proteção de dados. Os contratos entre controladores e operadores devem especificar os limites e responsabilidades de cada parte no tratamento das informações.

Além disso, o controlador deve elaborar uma política de privacidade clara e acessível, informando os titulares sobre como seus dados são tratados, enquanto os operadores devem respeitar essas diretrizes em todas as operações realizadas em nome do controlador.

Conclusão

A conformidade com a LGPD exige dedicação, planejamento e a adoção de medidas eficazes para proteger os direitos dos titulares de dados. Tanto controladores quanto operadores precisam entender suas obrigações e atuar de forma responsável na manipulação de informações pessoais.

Com a implementação de práticas adequadas e a observância das determinações da LGPD, empresas e profissionais podem evitar penalidades, preservar a confiança dos usuários e garantir um ambiente mais seguro para todos.

Perguntas e respostas

1. O que acontece se um operador não seguir as determinações do controlador?

Se um operador descumprir as diretrizes estabelecidas pelo controlador ou agir fora do escopo autorizado, ele poderá ser responsabilizado diretamente por eventuais infrações à LGPD, sofrendo sanções administrativas e, em alguns casos, ações judiciais.

2. O consentimento do titular é sempre necessário para o tratamento dos dados?

Não. O consentimento é apenas uma das bases legais permitidas pela LGPD. Outras bases, como execução de contrato, obrigação legal e legítimo interesse, também podem ser utilizadas para o tratamento de dados pessoais, desde que justificadas corretamente.

3. Como as empresas devem estruturar suas políticas de privacidade?

As políticas de privacidade devem ser claras, objetivas e acessíveis, explicando quais dados são coletados, a finalidade do tratamento, os direitos dos titulares e como as informações são protegidas. É essencial que essa política esteja disponível aos usuários de forma transparente.

4. Operadores podem ser multados pela ANPD?

Sim. Se um operador descumprir suas obrigações e for comprovado que teve participação ativa em uma violação da LGPD, ele poderá ser responsabilizado com as sanções previstas na lei, incluindo multas e restrições operacionais.

5. Qual a importância do contrato entre controlador e operador?

Esse contrato é essencial para definir as responsabilidades de cada parte, estabelecendo regras claras para o tratamento dos dados e garantindo a conformidade com a LGPD. Ele ajuda a evitar conflitos e a assegurar um processo de tratamento de dados mais seguro.

Aprofunde seu conhecimento sobre o assunto na Wikipedia.

Este artigo teve a curadoria de Marcelo Tadeu Cometti, CEO da Legale Educacional S.A. Marcelo é advogado com ampla experiência em direito societário, especializado em operações de fusões e aquisições, planejamento sucessório e patrimonial, mediação de conflitos societários e recuperação de empresas. É cofundador da EBRADI – Escola Brasileira de Direito (2016) e foi Diretor Executivo da Ânima Educação (2016-2021), onde idealizou e liderou a área de conteúdo digital para cursos livres e de pós-graduação em Direito.

Graduado em Direito pela Pontifícia Universidade Católica de São Paulo (PUC-SP, 2001), também é especialista em Direito Empresarial (2004) e mestre em Direito das Relações Sociais (2007) pela mesma instituição. Atualmente, é doutorando em Direito Comercial pela Universidade de São Paulo (USP).Exerceu a função de vogal julgador da IV Turma da Junta Comercial do Estado de São Paulo (2011-2013), representando o Governo do Estado. É sócio fundador do escritório Cometti, Figueiredo, Cepera, Prazak Advogados Associados, e iniciou sua trajetória como associado no renomado escritório Machado Meyer Sendacz e Opice Advogados (1999-2003).