Carregando
Recife Ao Vivo

CBN Recife

00:00
00:00
Artigos

Cybereconomy: Quem é o controlador e a difícil missão de proteger dados


Por: REDAÇÃO Portal

DPO, controlador, operador. Entende como eles vão atuar

DPO, controlador, operador. Entende como eles vão atuar

Foto: Carmina Hissa é colunista do Movimento Econômico/Foto: divulgação

16/09/2020
    Compartilhe:

Por Carmina Hissa* 

A LGPD criou dois agentes de tratamento de dados, quais sejam: as figuras do controlador e do operador, que, juntos com o titular dos dados formam um triângulo amoroso, mas cuja relação em alguns momentos pode ser conflituosa e tensa como em qualquer bom relacionamento.

E o DPO? Nessa relação ele só se envolve para ajudar, é o pacificador, é o que mantem a relação em ordem, em harmonia e que trabalha para que seja eterna enquanto dure.

Nesse caminho de adequação um dos pontos mais importantes da LGPD que tem gerado muito debate e incertezas, é saber definir quem é o controlador e quem é o operador, porque isso tem um impacto significativo nas regras da relação, inclusive contratual, entre esse triângulo ímpar.

Hoje o foco é falar sobre o Controlador, que é quem coleta os dados pessoais e sensíveis dos titulares dos dados, seja ele cliente, usuário, consumidor, colaborador. E ele tem a difícil missão de proteger esses dados para que sejam visíveis e acessíveis apenas àqueles que precisam usar os dados para fazer seu trabalho (colaborador) ou prestar serviço (operador).

Ao controlador compete definir quais dados serão coletados, alicerçado em qual base legal, para qual finalidade, onde serão armazenados, com quem serão compartilhados e por quanto tempo permanecerá sob sua proteção.

Por ser a figura ativa na relação, ele responde por todas as escolhas e posturas perante ao titular dos dados e a ANPD.

Se os dados dos titulares, que ele, enquanto controlador coletou, vazarem por alguma vulnerabilidade sua, ele responderá por tal fato e a ANPD aplicará alguma penalidade.

A empresa controladora é quem tem a obrigação de notificar a ANPD e aos titulares impactados em caso de vazamento dos dados.

É o Controlador, na pessoa do seu DPO, quem receberá as solicitações dos titulares dos dados e que terá apenas 15 dias para respondê-las, até sua finalização.

Ao Controlador caberá ainda a criação e manutenção do relatório de impacto à proteção de dados pessoais, bem como da constituição do comitê gestor de crise.

Se o operador, com quem ele compartilhou os dados dos titulares, vazar, o controlador responderá pelos erros e omissões desse terceirizado, prestador de serviço, parceiro.

Ou seja, o Controlador além da difícil missão de proteger os dados dos titulares, também tem a difícil missão de escolher o operador.

Assim é fundamental que o operador comprove que está adequado a LGPD.

Para minha surpresa tenho analisado contratos onde o controlador insere uma cláusula dizendo que o operador declara que está em conformidade ou adequado a LGPD. Ou seja, o operador se auto declara em compliance com a LGPD.

Essa declaração protege o controlador? NÃO.

Essa cláusula contratual exime o controlador de penalidades, culpas e multas, caso o operador vaze os dados do titular? NÃO.

Portanto o controlador deve pedir que o operador comprove através de declaração da consultoria que realizou a adequação e não uma auto declaração numa cláusula contratual.

O controlador deve estabelecer contratualmente, através de cláusula específicas, a prestação do serviço com os dados dos titulares, as finalidades do tratamento dos dados, as responsabilidades de cada parte, o escopo da prestação dos serviços, normas de confidencialidade, técnicas e procedimentos organizacionais/operacionais para garantir o uso correto dos dados, o não compartilhamento do mesmo para qualquer outra finalidade, bem como as regras, caso seja necessária, de subcontratação, procedimentos de auditoria por parte do controlador e ações necessárias para exclusão dos dados ao final do contrato.

Assim o controlador também tem a difícil missão de selecionar, contratar e comprovar que o operador está em compliance com a LGPD.

Porque nessa relação o operador também tem a obrigação de proteger os dados dos titulares para que não vazem e que essa relação seja eterna enquanto dure.

Até a próxima quinta!

*Carmina Hissa é advogada-sócia de Hissa & Galamba Advogados e da Infoteam Education, professora de Direito Cibernético em cursos técnicos, graduação, pós graduação e MBA desde 1997, palestrante, presidente nacional da Comissão de Compliance e vice presidente da Comissão de Crimes Cibernéticos da ABCCRIM,  Diretora Jurídica da Associação Brasileira de Segurança Cibernética da ABRASECI, membro do IBDEE,  da ISOC Capitulo Brasil e Member Cyber Master WOMCY, Latam Women in Cybersecurity.

Vamos interagir  https://www.linkedin.com/in/carmina-hissa-17b52715/ e @carminahissa

Notícias Relacionadas

Comente com o Facebook