Quem são os agentes responsáveis pelo tratamento de dados pessoais?

Segundo a LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento: controlador e operador.

O controlador é definido pela lei (artigo 5º, VI, LGPD) como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador é quem toma as decisões referentes ao tratamento dos dados pessoais ao longo do ciclo de vida dos dados, ele determina as finalidades e os meios de tratamento, avalia o enquadramento nas bases legais e, principalmente, cabe a ele garantir o cumprimento dos direitos dos titulares.

O operador é definido pela lei (artigo 5º, VII, LGPD) como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e de acordo com as instruções fornecidas pelo controlador (artigo 39º, LGPD). O operador não possui poder decisório, mas pode ser responsabilizado solidariamente por violações que vier causar à LGPD.

Quem é o Encarregado (DPO)?

O encarregado é o profissional que responde pela proteção dos dados na empresa e que fará contato com a Autoridade Nacional de Proteção de Dados (ANPD) quando necessário. Em inglês, este papel é denominado Data Protection Officer (DPO).

Além do contato com a ANPD, o encarregado também atua como canal de comunicação entre o controlador e os titulares de dados pessoais. Ele é o responsável por aceitar eventuais reclamações dos titulares, bem como as comunicações dos titulares e da ANPD, prestar esclarecimentos e adotar providências necessárias.

O encarregado também é responsável por orientar internamente os colaboradores do controlador a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

A LGPD não obriga que o encarregado seja um funcionário do controlador, então ele pode ser representado por um terceiro ou empresa contratada para esta função.

Como características comuns do papel do encarregado observa-se que ele reporta diretamente a diretoria da empresa e tenha certa autonomia.

O artigo 41º da LGPD diz que as atribuições do encarregado são:

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da autoridade nacional e adotar providências;
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
• Além das atribuições citadas na LGPD, também pode-se citar estas:
• Avaliar os mecanismos de tratamento e proteção de dados existentes e propor políticas, estratégias e metas para a empresa ficar em conformidade com a LGPD;
• Formular princípios e diretrizes para a gestão de dados pessoais;
• Supervisionar a execução dos planos, dos projetos e das ações aprovadas para viabilizar a implantação das diretrizes previstas na lei;
• Manter registro de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas.

Quem é a ANPD?

A lei estabelece que seja criada a Autoridade Nacional de Proteção de Dados (ANPD) que é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional, vinculada à Presidência da República.

A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade às empresas para certificar-se de que as organizações estão tratando o tema internamente e dentro do estabelecido pela LGPD.

A autoridade nacional emitirá opiniões técnicas ou recomendações e poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.

Aqui estão algumas das atribuições da ANPD citadas no artigo 55º, J, da LGPD:

• Zelar pela proteção dos dados pessoais, nos termos da legislação;
• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
• Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação;
• Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
• Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
• Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;
• Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade;
• Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização;
• Celebrar compromisso com agentes de tratamento para eliminar irregularidade;
• Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte possam adequar-se a esta lei;
• Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta lei, as suas competências e os casos omissos;
• Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; e,
• Implementar mecanismos simplificados para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta lei.

Quem são os agentes responsáveis pelo tratamento dos dados pessoais?

Quem é o responsável por realizar o tratamento de dados pessoais em nome do controlador?

O que são os agentes de tratamento?

Qual agente de tratamento tem o poder de decisão do tratamento de dados pessoais?