Compartilhe

Controlador e operador na LGPD: qual o papel da sua empresa?

Avalie o artigo
Especialista esclarece as principais diferenças entre os agentes de tratamento de dados pessoais e dá dicas para o seu RH se adequar

Com as sanções administrativas da Lei Geral de Proteção de Dados (LGPD), torna-se urgente a adequação a esse cenário. Sendo assim, é fundamental compreender os papéis do controlador e operador na LGPD para evitar multas.

Para contribuir com as empresas, a Autoridade Nacional de Proteção de Dados (ANPD publicou o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. O documento busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto.

A partir do episódio 65º do Podcast Pra Gente, “Confiança e privacidade: a importância da proteção de dados para o RH”, Gabriela Menezes, Analista de Privacidade da LG lugar de gente, recebeu Claudio Dodt, Líder de Prática ISM e PPD e Sócio-Gerente da Daryus Consultoria, e André Belém, Gerente de TI da LG lugar de gente, esclarece pontos importantes e fala sobre as responsabilidades do RH no cumprimento da lei. Veja a seguir:

Entenda seu papel

Imagine que você é dono de uma empresa e seu funcionário infringiu uma regra na proteção de dados dos seus clientes. Você sabe quais as sanções deverão ser empregadas? Compreende quais são as responsabilidades da companhia e do colaborador? Em situações como essa, o papel do controlador e operador na LGPD devem estar claros para evitar possíveis sanções.

Segundo Claudio, um controlador é uma pessoa natural ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados. “Cabe a ele determinar sua atuação, regras de acordo com seu modelo de negócios e seu legítimo interesse, em conformidade com a lei”, explica.

Já um operador é uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. “Ele processa e gerencia as informações de acordo com as regras estabelecidas pelo controlador”, esclarece o especialista.

No exemplo citado, segundo Claudio, a empresa atua como controladora e o funcionário como operador. “Importante ressaltar que um operador deve ter clareza em sua atuação, de forma a não exercer mais responsabilidades do que aquelas que deveriam estar definidas em seu contrato com um controlador”, alerta.

Uma empresa é sempre controladora?

Gabriela reforça que uma empresa pode assumir o papel de controladora e operadora, a depender do contexto. Por exemplo, ela pode ser responsável internamente pelos dados dos funcionários e clientes ou, ainda, contratar uma terceirizada que conte com essa finalidade. A terceirizada, nesse caso, assume o papel de operadora.

Sendo assim, Gabriela aponta que o papel de controlador e operador na LGPD depende do assunto em questão e do entendimento dos líderes da companhia. “A avaliação de uma empresa considera aspectos de negócio, cadeia de valor, atuação e responsabilidades. Esta definição e especificação é realizada com a alta direção, considerando seus produtos e serviços, de forma a adequá-los à legislação”, explica.

Desta forma, a analista de privacidade recomenda que esse aspecto não seja fruto de uma decisão rápida, utilizando somente uma visão simplista da operação em si. “Uma boa regra simples, que deve ser utilizada com cautela, é: um controlador controla e um operador opera (em nome de um controlador). Ambos são responsáveis em manter os registros de suas respectivas atuações e responsabilidades”, argumenta.

Papel do controlador e operador

Claudio explica que um controlador tem como papel e responsabilidade a gestão das informações. Ele deve gerenciar todas as atividades que envolvam dados pessoais relacionados aos clientes, consumidores e colaboradores, como:

  • Coleta;
  • Produção;
  • Recepção;
  • Classificação;
  • Utilização;
  • Acesso;
  • Reprodução;
  • Transmissão;
  • Distribuição;
  • Processamento;
  • Arquivamento;
  • Armazenamento;
  • Modificação;
  • Comunicação;
  • Transferência;
  • Difusão ou extração;
  • Eliminação, avaliação ou controle da informação.

O profissional pondera que não há diferença de responsabilidades entre controlador e operador na LGPD quanto ao registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado em legítimo interesse.

RH é uma área-chave

Com um RH cada vez mais automatizado e, muitas vezes, movimentando grandes volumes de dados, Helio recomenda que a área busque parceiros de tecnologia de confiança para evitar problemas na LGPD.

O RH possui responsabilidade direta na gestão e uso de dados pessoais e sensíveis de seus colaboradores, incluído de crianças e adolescentes disponíveis no ecossistema de cadastro destes funcionários. Ainda que terceirize parte destas atividades com outras empresas, parceiros, prestadores, plataformas web ou startups, o departamento permanece como controlador destes dados”, ressalta Gabriela.

Sendo assim, independentemente do papel de controlador e operador na LGPD, diversos tipos de dados fundamentais à área devem passar por regras de segurança criteriosas, inclusive de pessoas que estão participando de processos seletivos.

“Informações de candidatos, currículos e bases cadastrais que antes eram guardados de forma permanente, agora, precisam de consentimento por parte dos titulares de dados para que sejam utilizados somente para a finalidade específica da contratação ou do recrutamento. Além disso, o período de armazenamento precisa ser claramente determinado e especificado aos titulares”, finaliza.

Agora que você já sabe a diferença entre controlador e operador na LGPD, confira como está o nível de adequação da sua empresa. Clique aqui e acesse nosso checklist do controlador, que mede o grau de conformidade da sua companhia com a lei.

Texto publicado 01 de junho de 2021 e atualizado dia 15 de dezembro de 2023.

Picture of Ícaro Sena

Ícaro Sena

Ícaro Sena é formado em Engenharia Elétrica pela Universidade Federal de Goiás (UFG), com MBA em Gestão Empresarial pela Fundação Getúlio Vargas (FGV). Possui experiência nas áreas comercial e de tecnologia e já atuou em empresas como Ambev, Champion e Fazen. Na LG lugar de gente desde 2019, já foi Diretor de Sucesso do Cliente, assumindo, posteriormente, a Diretoria de Serviços e agora, em 2023, a Vice-Presidência de Operações da companhia.

Newsletter Huma

Cadastre-se e receba

nosso conteúdo exclusivo

Você está fornecendo o seu consentimento para a LG lugar de gente para que possamos enviar comunicações de marketing. Você pode revogar o seu consentimento a qualquer momento. Para mais informações, consulte nossa Política de Privacidade.