WBA0493_v3.

0
Podcast

Disciplina: Lei Geral de Proteção de Dados

Título do Tema: Conceitos e bases legais da LGPD
Autoria: Ruth Maria Guerreiro da Fonseca Armelin
Leitura crítica: Paulo Eduardo Diniz Ricaldoni Lopes

Abertura:

Olá, ouvinte! No podcast de hoje falaremos sobre como o controlador pode se

proteger para não ser responsabilizados pelo ato do operador e vice-versa.

Como sabemos, o controlador e o operador são considerados agentes de

tratamento pela LGPD. E na prática, o que muda se uma empresa é
considerada controladora ou operadora?

A lei trouxe obrigações e responsabilidades diferenciadas a depender do papel

que o agente desempenha, ou seja, como controlador ou como operador. Mas,
antes de adentrarmos nas nuances das diferenças vamos relembrar os
conceitos de controlador e operador.

Controlador é aquela pessoa física ou jurídica que toma as decisões relativas

ao tratamento de dados pessoais. E operador é aquela pessoa física ou jurídica
que trata dados pessoais em nome do controlador. Lembrando que essa
classificação pode mudar a depender da atividade de tratamento que o agente
executa. Assim, resumidamente, uma mesma empresa (ou pessoa física)
poderá ser considerada controladora e operadora a depender de qual atividade
esteja sendo analisada.

Ok. Agora, vamos às proteções. O operador de dados, por seguir ordens e não
tomar as principais decisões sobre o tratamento de dados, só vai ser
responsabilizado se estiver descumprindo a lei ou se não seguir as ordens
lícitas do controlador.

A partir dessa análise, como garantir que o operador esteja seguindo as ordens
lícitas do controlador? Primeiramente, deixando essas ordens claras em um
contrato. Ou seja, no contrato que estabelece a relação entre controlador e
operador devem estar previstas quais as condições para que o operador trate
dados pessoais em nome do controlador.

E quais são os conteúdos desejáveis dessas cláusulas? Como estamos

falando de responsabilização solidária, o controlador deve se atentar ao grau
de maturidade do operador à LGPD, pois se ele for baixo, provavelmente o seu
risco será alto.

Assim, dentre as cláusulas é recomendável que o contrato possua previsões

sobre medidas de segurança mínima a serem adotadas pelo operador,
treinamentos e conscientizações de seus funcionários, cuidado ao contratar
suboperadores, dever de notificar o controlador sobre incidentes de segurança
e requisições dos titulares de dados, responsabilização em caso de
descumprimento legal, direito de auditoria e direito de regresso.

Após a assinatura do contrato, o controlador deve monitorar a conformidade do

operador, seja através do envio de questionários, pedido de evidências, visitas
presenciais ou participação em treinamentos do controlador.

Outra boa prática é fazer essa auditoria antes mesmo da contratação de um

operador, procurando fornecedores que estejam adequados à LGPD e que se
preocupam com a proteção de dados pessoais. O envolvimento do DPO é
essencial para que ele possa opinar sobre as questões de proteção de dados
pessoais e possa recomendar medidas para mitigar riscos envolvendo
terceiros.

E claro, a decisão de contratar ou não um operador que não atenda ao mínimo

da LGPD, deve ser sempre do controlador, mas ele deve ter ciência de que
poderá responder administrativamente e judicialmente por eventual vazamento
de dados ou tratamento irregular de dados pessoais. Não dá para ficar
arriscando não é mesmo?

Fechamento:

Este foi nosso podcast de hoje! Até a próxima!