Terceirização de Folha de Pagamento e Consultoria em LGPD
builderall


Ainda é muito frequente as dúvidas sobre quem é o operador e o controlador para a LGPD. A dificuldade da identificação se deve ao fato de que para cada caso concreto a situação pode se distinguir.


No entanto, a LGPD traz conceitos que podem (ou não) auxiliar as empresas a identificar quem é quem em relação aos dados pessoais. E é muito importante esta fase de identificação pois tanto o controlador quanto o operador possuem responsabilidades distintas frente à LGPD. Por isso, delimita-los dentro de um instrumento é de suma relevância para o seu negócio.


A primeira observação que podemos trazer é informa-los que os agentes de tratamento são considerados sob o ponto de vista institucional, isto é, controlador e operador são as instituições e não um funcionário ou um departamento, por exemplo. A pessoa física apenas será controlador ou operador a partir do momento que ela tratar dados pessoais de forma autônoma e direta, de modo que quando representar uma entidade, o agente de tratamento será a própria pessoa jurídica.


A segunda observação é em relação ao poder de decisão sobre os dados pessoais. Assim como o próprio nome já diz, controlador é aquele que controla os dados pessoais e decide para qual finalidade estes serão tratados e os meios que se dará este tratamento. Apesar de simples a ideia, na prática pode trazer algumas complicações.


Já o operador é aquele que realiza o tratamento dos dados pessoais em nome do controlador. Buscando no contexto europeu algumas orientações, podemos destacar que para identificar a pessoa do operador é preciso duas situações: ele ser uma pessoa (jurídica ou física) distinta do controlador e ser responsável pelo tratamento dos dados em nome do controlador, devendo agir conforme as finalidades daquele. Daí a importância de um contrato bem elaborado, delimitando de forma clara quem é quem numa relação.

A depender do contexto, a figura dos agentes de tratamentos pode variar. No entanto, é importante que fique claro que na existência de qualquer incidente de segurança que resulte em algum dano, tanto o controlador como o operador poderão vir a ser responsabilizados.


Também é importante que se saiba que a responsabilidade do controlador é solidária, isto é, também abrange as ações realizadas do operador de dados, quando o tratamento voltar para a sua finalidade. Da mesma forma, o operador será responsável nos casos em que não observar a LGPD ou realizar tratamento dos dados fora das finalidades estipuladas.


Portanto, a primeira parte de um contrato bem estipulado é saber o seu papel frente a LGPD. Entendido isso, a organização precisa entender as suas obrigações com o titular dos dados. Somente assim é possível criar uma relação sólida entre os agentes de tratamento e o titular dos dados pessoais e evitar prejuízos, sejam estes financeiros ou reputacionais.