Operador, controlador… Afinal, quem é quem na LGPD?
Não há dúvidas de que a Lei Geral de Proteção de Dados foi um marco na história do Brasil. Diferente do que alguns enxergam, a diretriz não vem simplesmente para punir vazamentos de informações (que, inevitavelmente, podem ocorrer com qualquer empresa, não importando o quanto ela investiu nesse setor), mas sim para promover, a nível federal, uma conscientização mais apurada — tanto para as corporações quanto para o cidadão — a respeito do direito fundamental à privacidade, que já era previsto na Constituição de 1988.
Porém, a legislação também confundiu muita gente ao “criar” uma série de atribuições e nomenclaturas inéditas para determinar o papel de cada executivo dentro de uma companhia que colete, armazene e processe dados pessoais de brasileiros. O mais famoso deles é o encarregado de dados — mais conhecido popularmente como DPO, do inglês, data protection officer —, responsável por supervisionar os processos como um todo e servir de ponte de comunicação com a Autoridade Nacional de Proteção de Dados (ANPD).
Porém, também temos duas figuras que ainda causam certa discórdia: o controlador e o operador. Afinal, quem são eles e quais são as suas atribuições?
Controlador: o nome já diz tudo
Vamos começar pelo controlador. Como seu nome sugere, ele é tão importante quanto o DPO, já que é responsável pelos processos de controle de coleta, tratamento e compartilhamento de dados pessoais que estão sob sua custódia. Na LGPD, ele é descrito como “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Ou seja, é o profissional ou empresa que coordena como os dados pessoais serão coletados e tratados.
Trata-se de uma ocupação de grande responsabilidade. O controlador precisa criar processos que estejam de acordo com as bases legais da norma e compete a ele criar o Relatório de Impacto à Proteção de Dados Pessoais, que pode ser solicitado pela ANPD a qualquer momento. Este profissional também fica responsável por explicar, através das políticas de privacidade, por que cada informação será coletada e para que ela será utilizada, bem como os direitos do cidadão como “dono” daquele ativo.
Em incidentes de exposição acidental ou criminosa de dados, se o tratamento não ocorria em conformidade com a lei, o controlador pode responder solidariamente pelos prejuízos causados — claro, tendo o DPO como seu “parceiro” para prestar esclarecimentos à Autoridade.
Operador: você pode ser um
Já a figura do operador é muito mais simples. Estamos falando do profissional ou empresa que efetivamente cuida do armazenamento e uso dos dados pessoais coletados. No texto oficial da LGPD, ele é descrito como “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
Ou seja, o operador é diretamente subordinado ao controlador e deve garantir que o processamento de informações esteja de acordo com as regras definidas por ele. Quer exemplos práticos? Uma central de call center é um operador, já que ela utiliza dados dos usuários para entrar em contato com possíveis clientes, no intuito de oferecer serviços, atender solicitações ou efetuar cobranças. Profissionais ou agências de marketing que coletam leads também podem ser enquadrados como operadores.
Embora responda às regras do controlador, o operador também pode responder solidariamente a eventuais incidentes de segurança que coloquem em risco a privacidade do titular, especialmente se o incidente foi causado pelo descumprimento das instruções do controlador. Porém, novamente, é com a ajuda do DPO que a ponte de comunicação com a ANPD será estabelecida.
Trabalho em equipe
Agora que você entende os papéis do encarregado, do controlador e do operador, certamente ficou mais fácil entender a LGPD. Cada um exerce uma função ligeiramente diferente; porém, a ideia é que, juntos, os três consigam manter uma estratégia eficiente para proteger os dados e a privacidade de seus clientes.