Podcast 03

Prévia do material em texto

Podcast 
 
Disciplina: Lei Geral de Proteção de Dados 
Título do Tema: Conceitos e bases legais da LGPD 
Autoria: Ruth Maria Guerreiro da Fonseca Armelin 
Leitura crítica: Paulo Eduardo Diniz Ricaldoni Lopes 
 
Abertura: 
Olá, ouvinte! No podcast de hoje falaremos sobre como o controlador pode se 
proteger para não ser responsabilizados pelo ato do operador e vice-versa. 
Como sabemos, o controlador e o operador são considerados agentes de 
tratamento pela LGPD. E na prática, o que muda se uma empresa é 
considerada controladora ou operadora? 
A lei trouxe obrigações e responsabilidades diferenciadas a depender do papel 
que o agente desempenha, ou seja, como controlador ou como operador. Mas, 
antes de adentrarmos nas nuances das diferenças vamos relembrar os 
conceitos de controlador e operador. 
Controlador é aquela pessoa física ou jurídica que toma as decisões relativas 
ao tratamento de dados pessoais. E operador é aquela pessoa física ou jurídica 
que trata dados pessoais em nome do controlador. Lembrando que essa 
classificação pode mudar a depender da atividade de tratamento que o agente 
executa. Assim, resumidamente, uma mesma empresa (ou pessoa física) 
poderá ser considerada controladora e operadora a depender de qual atividade 
esteja sendo analisada. 
Ok. Agora, vamos às proteções. O operador de dados, por seguir ordens e não 
tomar as principais decisões sobre o tratamento de dados, só vai ser 
responsabilizado se estiver descumprindo a lei ou se não seguir as ordens 
lícitas do controlador. 
A partir dessa análise, como garantir que o operador esteja seguindo as ordens 
lícitas do controlador? Primeiramente, deixando essas ordens claras em um 
contrato. Ou seja, no contrato que estabelece a relação entre controlador e 
W
B
A
0
4
9
3
_
v3
.0
 
 
 
operador devem estar previstas quais as condições para que o operador trate 
dados pessoais em nome do controlador. 
E quais são os conteúdos desejáveis dessas cláusulas? Como estamos 
falando de responsabilização solidária, o controlador deve se atentar ao grau 
de maturidade do operador à LGPD, pois se ele for baixo, provavelmente o seu 
risco será alto. 
Assim, dentre as cláusulas é recomendável que o contrato possua previsões 
sobre medidas de segurança mínima a serem adotadas pelo operador, 
treinamentos e conscientizações de seus funcionários, cuidado ao contratar 
suboperadores, dever de notificar o controlador sobre incidentes de segurança 
e requisições dos titulares de dados, responsabilização em caso de 
descumprimento legal, direito de auditoria e direito de regresso. 
Após a assinatura do contrato, o controlador deve monitorar a conformidade do 
operador, seja através do envio de questionários, pedido de evidências, visitas 
presenciais ou participação em treinamentos do controlador. 
Outra boa prática é fazer essa auditoria antes mesmo da contratação de um 
operador, procurando fornecedores que estejam adequados à LGPD e que se 
preocupam com a proteção de dados pessoais. O envolvimento do DPO é 
essencial para que ele possa opinar sobre as questões de proteção de dados 
pessoais e possa recomendar medidas para mitigar riscos envolvendo 
terceiros. 
E claro, a decisão de contratar ou não um operador que não atenda ao mínimo 
da LGPD, deve ser sempre do controlador, mas ele deve ter ciência de que 
poderá responder administrativamente e judicialmente por eventual vazamento 
de dados ou tratamento irregular de dados pessoais. Não dá para ficar 
arriscando não é mesmo? 
Fechamento: 
Este foi nosso podcast de hoje! Até a próxima!