Quem é quem na LGPD: entenda os papeis do Controlador, Operador e Encarregado de dados (DPO)

Quem é quem na LGPD: entenda os papeis do Controlador, Operador e Encarregado de dados (DPO)

Com a Lei Geral de Proteção de Dados (LGPD) em vigor desde agosto deste ano, muitas empresas precisaram se adaptar à nova realidade. Apesar da segurança e proteção serem preocupações recorrente das empresas de tecnologia, foram tantos os benefícios com a transformação digital, que o mercado se ajustou de forma natural e em uma velocidade avassaladora.  

Entretanto, não basta apenas criar aplicativos e softwares com usabilidade para o usuário, é fundamental ir além e utilizar processos para atender as normas da LGPD. Na prática, ela foi criada com um objetivo simples: instituir normas para a coleta, tratamento, armazenamento e proteção das informações atreladas às pessoas físicas. 

Um bom exemplo de como essa nova legislação funciona, por exemplo, é no instante que os dados pessoais de um indivíduo, como e-mail, nome e telefone, são coletados por estabelecimentos, farmácias, loja de roupas ou até no website. A partir da LGPD, esse processo de armazenamento de dados passará por um critério muito mais rigoroso. 

Onde entra o Data Protection Officer

De modo geral, ele tem tudo a ver com esse processo. O DPO ou encarregado, será o profissional que, dentro de uma empresa, cuida das questões referentes à proteção dos dados da instituição e de seus clientes. Desta forma, sua função é monitorar o comportamento de todos os usuários que acessam suas plataformas e interagem com a marca nas redes sociais. 

Além disso, ele também é responsável por auxiliar a empresa na estruturação de um programa de compliance com mais foco na segurança das informações que estão sob a sua tutela. Basicamente, ele anda de mãos dadas com a LGPD, já que garante as diretrizes sobre a coleta, manuseio e armazenamento dos dados.  

Em outras palavras, o DPO possui um papel de liderança dentro da segurança da empresa, exigido pelo Regulamento Geral de Proteção de Dados (GDPR). É ele o encarregado de responder pela proteção de informações, além de supervisionar estratégias para garantir que todas as normas previstas no regulamento sejam cumpridas.  

Proteção de dados no Brasil e no mundo 

Com a necessidade urgente de liberação de recursos para a realização de investimentos em atualizações e iniciativas voltadas para a evolução do mercado digital, as empresas passam a ter a necessidade de serem ainda mais cuidadosas com o armazenamento desses dados, protegendo seus clientes de invasões e vazamentos que possam levar ao uso malicioso destas informações. 

Vale lembrar que, infelizmente, esse medo é mais real do que imaginamos. Afinal, quando se fala em vazamento de informações, existem cases concretos que justificam a preocupação, como, por exemplo, o site Canva, que em maio de 2019 sofreu um ataque, resultando na exposição de endereços de e-mail, nomes de usuários, nomes, cidades de residência de 137 milhões de usuários.  

Não bastando, ainda temos a Adobe, que teve hackeado, em 2013, mais de 150 milhões de registros criptografados de cartões de crédito atrelados a clientes, além de IDs, senhas e outras informações.  

É nesse contexto que o papel do Date Protection Officer passa a ser de extrema importância, visando garantir a segurança não só das empresas, mas também de seus clientes, assegurando a confiabilidade de seu negócio e sem colocar em risco anos de investimento.

Para o GDPR, a função de um DPO é necessária para qualquer instituição que receba ou armazene grandes quantidades de dados, sejam esses de funcionários, terceiros ou clientes.  

Desta forma, torna-se indispensável a importância desse profissional para as empresas, pois este abrange o compromisso de ultrapassar as fronteiras do território digital, integrando o máximo possível de esforços na proteção de dados atrelados a usuários. 

As funções do Data Protection Officer

A partir da LGPD, três importantes atribuições foram inseridas na legislação brasileira: o Controlador, Operador e Encarregado. Usualmente, a diferença entre controlador e operador está no seu poder de decisão.  

Enquanto o controlador é responsável pelas informações, o operador é a figura que, a partir das ordens fornecidas, atua sobre os dados. Por isso, é essencial que o DPO conheça a legislação, tenha experiência em governança e entenda sobre segurança da informação. 

1. Encarregado 

O profissional de DPO é responsável por estabelecer a comunicação entre os titulares e autoridades nacionais, além de fornecer esclarecimentos, providências e orientações internas.

Diferentemente do Controlador e do Operador, o encarregado não possui qualquer responsabilidade legal, ou seja, a responsabilidade da fiscalização de seu funcionário ou prestador de serviço, fica inteiramente à cargo do Controlador ou Operador, variando caso a caso.

Vale ressaltar que, o encarregado dos dados pessoais, tem direito a obter do Controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: 

  • A confirmação da existência de tratamento;
  • O acesso aos dados;
  • A correção de dados incompletos, inexatos ou desatualizados;
  • A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei; 
  • A portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; 
  • A eliminação dos dados pessoais tratados com o consentimento do titular; 
  • A informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 
  • A informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 
  • A revogação do consentimento. 

2. Controlador 

Como o próprio nome diz, este é o personagem responsável por controlar todas as etapas e decisões atreladas ao tratamento de dados, devendo sempre seguir o disposto pela LGPD, realizando a abordagem em consonância com os princípios, orientando corretamente o Operador, para que este realize um tratamento de acordo com o regulamento.  

Um dos seus deveres é a elaboração do relatório de impacto à proteção de dados pessoais, ou seja, uma documentação contendo a descrição dos processos de tratamento de informações sigilosas que podem gerar riscos às liberdades civis e aos direitos fundamentais dos usuários. 

Desta forma, é o Controlador quem responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação, podendo resultar em dever de reparação ao usuário lesionado.  

3. Operador 

É o subordinado do Controlador na cadeia de tratamento de dados pessoais. Ele realiza o serviço seguindo as diretrizes trazidas pelo Controlador para tratar os dados de acordo com as políticas de privacidade e ao ordenamento jurídico, sempre com a obrigação de cumprir à risca as instruções que lhe forem fornecidas, levando em consideração os termos da LGPD.  

Assim como o Controlador, ele também responderá em razão do exercício de sua atividade, tratamento de dados pessoais, caso venha a causar ao titular dos dados qualquer dano de natureza patrimonial, moral, individual ou coletivo, violando as normas da LGPD.  

Como ser um Data Protection Officer

Apesar do GDPR não incluir uma lista específica de credenciais atreladas a função de DPO, a legislação exige que, no mínimo, o agente de proteção possua “conhecimento especializado de leis e práticas de proteção de dados”. Sendo que a especialidade do DPO deve dialogar com a operação de processamentos de dados da organização e o nível de proteção necessário. 

Portanto, ainda que não exista um curso de graduação ou especialização com foco na capacitação de profissionais de DPO, este é um profissional interdisciplinar, pois, em sua atuação, acaba por circular entre diversos departamentos da empresa. 

Muito além de simplesmente estar familiarizado com as leis do país e regulamentos internacionais, este profissional precisa possuir algumas habilidades específicas que, em decorrência da grande demanda por parte das empresas, foram colocadas em evidência, passando a exigir certificações que podem ser úteis para o exercício do cargo. 

Baseadas na norma ISO/IEC 27001, a principal delas é o certificado em Fundamentos em Segurança da Informação. Ele apresenta os padrões para sistemas de segurança da informação mais utilizados no mercado, dando ao aluno as noções básicas da área e suas relações com medidas físicas, técnicas e operacionais. 

Durante o processo de contratação de um DPO, é preciso garantir não só que este siga as práticas e diretrizes de proteção de dados, mas também que possua conhecimentos básicos em infraestrutura de TI, além de estrutura técnica e organizacional. É possível designar o cargo para um funcionário já contratado e que seja de confiança da empresa ou contratar um alguém especialmente para o exercício da função.

Topo