Operador, controlador... De hecho, ¿quién es quién en LGPD?
No hay duda de que la Ley General de Protección de Datos marcó un hito en la historia de Brasil. A diferencia de lo que ven algunas personas, la directriz no viene simplemente a castigar las filtraciones o fugas de información (que inevitablemente le puede pasar a cualquier empresa, por mucho que haya invertido en este sector), sino a promover, a nivel federal, una conciencia más precisa — tanto para las empresas como para el ciudadano — con relación al derecho fundamental a la privacidad, que ya estaba previsto en la Constitución de 1988.
Sin embargo, la legislación también ha confundido a muchas personas al “crear” una serie de nuevas atribuciones y nomenclaturas para determinar el rol de cada ejecutivo dentro de una empresa que recolecta, almacena y procesa datos personales de brasileños. El más famoso de ellos es el encargado de la protección de datos — más conocido como DPO, data protection officer del inglés —, responsable de supervisar los procesos en su conjunto y servir como puente de comunicación con la Autoridad Nacional de Protección de Datos (ANPD).
Sin embargo, también tenemos dos figuras que aún causan cierta contención: el controlador y el operador. De hecho, ¿quiénes son y cuáles son sus asignaciones?
Controlador: el nombre lo dice todo
Comencemos con el controlador. Como su nombre indica, es tan importante como el DPO, ya que es responsable de los procesos de control para la recopilación, procesamiento e intercambio de datos personales que se encuentran bajo su custodia. En la LGPD se le describe como “una persona física o jurídica, de derecho público o privado, que es responsable de las decisiones relativas al tratamiento de datos personales”. En otras palabras, es el profesional o la empresa quien coordina cómo se obtendrán y procesarán los datos personales.
Es una ocupación de gran responsabilidad. El controlador necesita crear procesos que se ajusten a las bases legales de la norma y le corresponde a él elaborar el Informe de Impacto de Protección de Datos Personales, que puede ser solicitado por la ANPD en cualquier momento. Este profesional también es responsable de explicar, a través de las políticas de privacidad, por qué se recopilará cada información y para qué se utilizará, así como los derechos del ciudadano como “propietario” de ese activo.
En incidentes de exposición accidental o criminal de datos, si el procesamiento no se llevó a cabo de acuerdo con la ley, el controlador puede responder solidariamente por el daño causado — con el DPO como su “aliado” para proporcionar aclaraciones a la ANPD.
Operador: puedes ser uno
La figura del operador es mucho más sencilla. Estamos hablando del profesional o empresa que maneja el almacenamiento y uso de los datos personales recopilados. En el texto oficial de la LGPD se le describe como “una persona física o jurídica, de derecho público o privado, que trata datos personales por cuenta del responsable del tratamiento, o sea, el controlador.”
En otras palabras, el operador está directamente subordinado al controlador y debe asegurarse de que el procesamiento de la información esté de acuerdo con las reglas definidas por él. ¿Te gustaría ejemplos prácticos? Un call center es un operador, ya que utiliza los datos de los usuarios para contactar con clientes potenciales, con el fin de ofrecer servicios, responder a solicitudes o realizar cobros. Los profesionales o agencias de marketing que recopilan clientes potenciales (leads) también pueden clasificarse como operadores.
Si bien responde a las reglas del controlador, el operador también puede responder solidariamente a cualquier incidente de seguridad que ponga en riesgo la privacidad del titular, especialmente si el incidente fue causado por el incumplimiento de las instrucciones del controlador. Sin embargo, nuevamente, es con la ayuda del DPO que se establecerá el puente de comunicación con ANPD.
Trabajo en equipo
Ahora que comprendes los roles del encargado, del controlador y del operador de datos, ciertamente es más fácil comprender la LGPD. Cada uno juega un papel ligeramente diferente; sin embargo, la idea es que, juntos, los tres puedan mantener una estrategia eficiente para proteger los datos y la privacidad de sus clientes.