Com a aproximação das sanções administrativas da Lei Geral de Proteção de Dados (LGPD), que passam a valer a partir de 1º de agosto de 2021, torna-se ainda mais urgente a adequação às mudanças previstas. Nesse momento, é fundamental compreender os papéis do controlador e operador na LGPD para evitar multas.
Para contribuir com as empresas, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, em 28 de maio, o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. O documento busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto.
Helio Cordeiro, Sócio-Diretor no Grupo Daryus e líder de LGPD, esclarece pontos importantes e fala sobre as responsabilidades do RH no cumprimento da lei.
Entenda seu papel
Imagine que você é dono de uma empresa e seu funcionário infringiu uma regra na proteção de dados dos seus clientes. Você sabe quais as sanções deverão ser empregadas? Compreende quais são as responsabilidades da companhia e do colaborador? Em situações como essa, o papel do controlador e operador na LGPD devem estar claros para evitar possíveis sanções.
Segundo Helio, um controlador é uma pessoa natural ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados. “Cabe a ele determinar sua atuação, regras de acordo com seu modelo de negócios e seu legítimo interesse, em conformidade com a lei”, explica.
Já um operador é uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. “Ele processa e gerencia as informações de acordo com as regras estabelecidas pelo controlador”, esclarece o especialista.
No exemplo citado, segundo Helio, a empresa atua como controladora e o funcionário como operador. “Importante ressaltar que um operador deve ter clareza em sua atuação, de forma a não exercer mais responsabilidades do que aquelas que deveriam estar definidas em seu contrato com um controlador”, alerta.
Uma empresa é sempre controladora?
O especialista reforça que uma empresa pode assumir o papel de controladora e operadora, a depender do contexto. Por exemplo, ela pode ser responsável internamente pelos dados dos funcionários e clientes ou, ainda, contratar uma terceirizada que conte com essa finalidade. A terceirizada, nesse caso, assume o papel de operadora.
Sendo assim, Helio explica que o papel de controlador e operador na LGPD depende do assunto em questão e do entendimento dos líderes da companhia. “A avaliação de uma empresa considera aspectos de negócio, cadeia de valor, atuação e responsabilidades. Esta definição e especificação é realizada com a alta direção, considerando seus produtos e serviços, de forma a adequá-los à legislação”, explica.
Desta forma, o especialista recomenda que esse aspecto não seja fruto de uma decisão rápida, utilizando somente uma visão simplista da operação em si. “Uma boa regra simples, que deve ser utilizada com cautela, é: um controlador controla e um operador opera (em nome de um controlador). Ambos são responsáveis em manter os registros de suas respectivas atuações e responsabilidades”, argumenta.
Papel do controlador e operador
Helio explica que um controlador tem como papel e responsabilidade a gestão das informações. Ele deve gerenciar todas as atividades que envolvam dados pessoais relacionados aos clientes, consumidores e colaboradores, como:
- Coleta;
- Produção;
- Recepção;
- Classificação;
- Utilização;
- Acesso;
- Reprodução;
- Transmissão;
- Distribuição;
- Processamento;
- Arquivamento;
- Armazenamento;
- Modificação;
- Comunicação;
- Transferência;
- Difusão ou extração;
- Eliminação, avaliação ou controle da informação.
O profissional pondera que não há diferença de responsabilidades entre controlador e operador na LGPD quanto ao registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado em legítimo interesse.
RH é uma área-chave
Com um RH cada vez mais automatizado e, muitas vezes, movimentando grandes volumes de dados, Helio recomenda que a área busque parceiros de tecnologia de confiança para evitar problemas na LGPD.
“O RH possui responsabilidade direta na gestão e uso de dados pessoais e sensíveis de seus colaboradores, incluído de crianças e adolescentes disponíveis no ecossistema de cadastro destes funcionários. Ainda que terceirize parte destas atividades com outras empresas, parceiros, prestadores, plataformas web ou startups, o departamento permanece como controlador destes dados”, ressalta Helio.
Sendo assim, independentemente do papel de controlador e operador na LGPD, diversos tipos de dados fundamentais à área devem passar por regras de segurança criteriosas, inclusive de pessoas que estão participando de processos seletivos.
“Informações de candidatos, currículos e bases cadastrais que antes eram guardados de forma permanente, agora, precisam de consentimento por parte dos titulares de dados para que sejam utilizados somente para a finalidade específica da contratação ou do recrutamento. Além disso, o período de armazenamento precisa ser claramente determinado e especificado aos titulares”, finaliza.
Agora que você já sabe a diferença entre controlador e operador na LGPD, confira como está o nível de adequação da sua empresa. Clique aqui e acesse nosso checklist do controlador, que mede o grau de conformidade da sua companhia com a lei.
