Baixe o app para aproveitar ainda mais
Prévia do material em texto
Podcast Disciplina: Lei Geral de Proteção de Dados Título do Tema: Conceitos e bases legais da LGPD Autoria: Ruth Maria Guerreiro da Fonseca Armelin Leitura crítica: Paulo Eduardo Diniz Ricaldoni Lopes Abertura: Olá, ouvinte! No podcast de hoje falaremos sobre como o controlador pode se proteger para não ser responsabilizados pelo ato do operador e vice-versa. Como sabemos, o controlador e o operador são considerados agentes de tratamento pela LGPD. E na prática, o que muda se uma empresa é considerada controladora ou operadora? A lei trouxe obrigações e responsabilidades diferenciadas a depender do papel que o agente desempenha, ou seja, como controlador ou como operador. Mas, antes de adentrarmos nas nuances das diferenças vamos relembrar os conceitos de controlador e operador. Controlador é aquela pessoa física ou jurídica que toma as decisões relativas ao tratamento de dados pessoais. E operador é aquela pessoa física ou jurídica que trata dados pessoais em nome do controlador. Lembrando que essa classificação pode mudar a depender da atividade de tratamento que o agente executa. Assim, resumidamente, uma mesma empresa (ou pessoa física) poderá ser considerada controladora e operadora a depender de qual atividade esteja sendo analisada. Ok. Agora, vamos às proteções. O operador de dados, por seguir ordens e não tomar as principais decisões sobre o tratamento de dados, só vai ser responsabilizado se estiver descumprindo a lei ou se não seguir as ordens lícitas do controlador. A partir dessa análise, como garantir que o operador esteja seguindo as ordens lícitas do controlador? Primeiramente, deixando essas ordens claras em um contrato. Ou seja, no contrato que estabelece a relação entre controlador e W B A 0 4 9 3 _ v3 .0 operador devem estar previstas quais as condições para que o operador trate dados pessoais em nome do controlador. E quais são os conteúdos desejáveis dessas cláusulas? Como estamos falando de responsabilização solidária, o controlador deve se atentar ao grau de maturidade do operador à LGPD, pois se ele for baixo, provavelmente o seu risco será alto. Assim, dentre as cláusulas é recomendável que o contrato possua previsões sobre medidas de segurança mínima a serem adotadas pelo operador, treinamentos e conscientizações de seus funcionários, cuidado ao contratar suboperadores, dever de notificar o controlador sobre incidentes de segurança e requisições dos titulares de dados, responsabilização em caso de descumprimento legal, direito de auditoria e direito de regresso. Após a assinatura do contrato, o controlador deve monitorar a conformidade do operador, seja através do envio de questionários, pedido de evidências, visitas presenciais ou participação em treinamentos do controlador. Outra boa prática é fazer essa auditoria antes mesmo da contratação de um operador, procurando fornecedores que estejam adequados à LGPD e que se preocupam com a proteção de dados pessoais. O envolvimento do DPO é essencial para que ele possa opinar sobre as questões de proteção de dados pessoais e possa recomendar medidas para mitigar riscos envolvendo terceiros. E claro, a decisão de contratar ou não um operador que não atenda ao mínimo da LGPD, deve ser sempre do controlador, mas ele deve ter ciência de que poderá responder administrativamente e judicialmente por eventual vazamento de dados ou tratamento irregular de dados pessoais. Não dá para ficar arriscando não é mesmo? Fechamento: Este foi nosso podcast de hoje! Até a próxima!
Compartilhar