Quem é quem na LGPD

Entenda os papeis do Controlador, Operador e Encarregado de dados (DPO) na Lei Geral de Proteção de Dados.

O marco histórico ocorreu em setembro de 2020, quando a Lei Geral de Proteção de Dados (LGPD) entrou em vigor. Em decorrência deste fato, muitas empresas precisaram se adaptar à nova realidade.

Apesar da segurança e proteção serem preocupações recorrente das companhias atreladas ao ramo da tecnologia, foram tantos os benefícios com a transformação digital, que o mercado se ajustou de forma natural e em uma velocidade avassaladora. 

Entretanto, arquitetar softwares e aplicativos não é suficiente, é preciso ultrapassar essa fronteira, indo além e fazendo uso de procedimentos que estejam em consonância com as diretrizes impostas pela LGPD. Na prática, a legislação foi projetada para regulamentar os atos de coletar, tratar e armazenar informações e dados atrelados às pessoas físicas. 

Um bom exemplo de como essa nova legislação funciona, é no instante que os dados pessoais de um indivíduo são coletados por estabelecimentos, farmácias, lojas e e-commerces. A partir da LGPD, esse processo de armazenamento de dados passará por um filtro muito mais rigoroso.

Onde entra o Data Protection Officer 

Em um panorama geral, ele tem tudo a ver com esse processo. O DPO ou encarregado, será o especialista responsável pelas questões relacionadas à proteção dos dados dos clientes e da instituição. Desta forma, sua função é acompanhar, com base nos acessos e interações com as plataformas e redes sociais, os hábitos dos usuários. 

Além disso, ele também é responsável por auxiliar a empresa na estruturação de um programa de compliance mais focado na segurança dos dados que estão em sua responsabilidade. Basicamente, ele anda de mãos dadas com a Lei Geral de Proteção de Dados, já que garante as diretrizes relacionadas à coleta, manuseio e armazenamento dados.   

Em outras palavras, o DPO possui um papel de liderança dentro da segurança da empresa, exigido pelo Regulamento Geral de Proteção de Dados (GDPR). É ele o encarregado de responder pela proteção de informações, além de supervisionar estratégias garantindo que todas as normas previstas no regulamento sejam cumpridas.   

Proteção de dados no Brasil e no mundo  

Com a necessidade urgente de liberação de recursos para a realização de investimentos em atualizações e iniciativas voltadas para a evolução do mercado digital, as empresas passam a ter a obrigação de serem ainda mais cautelosas quando o assunto é o armazenamento dessas informações, protegendo usuários de cyber ataques que possam levar ao uso malicioso desses dados.

Vale lembrar que, infelizmente, esse medo é mais real do que imaginamos. Afinal, quando se fala em vazamento de informações, existem cases concretos que justificam a preocupação, como, por exemplo, o site Canva sofreu um ataque em maio de 2019, resultando na exposição de endereços de e-mail, nomes de usuários, nomes, cidades de residência de 137 milhões de usuários.  

Não bastando, em 2013 , a Adobe teve hackeados mais de 150 milhões de registros criptografados de cartões de crédito atrelados a clientes, além de IDs, senhas e outras informações.

Dentro desse contexto, o papel do Date Protection Officer passa a ser extremamente valioso, visando assegurar a segurança não só das empresas, mas também de seus clientes, assegurando a confiabilidade de seu negócio e sem colocar em risco anos de investimento. 

Para o GDPR, a função de um DPO é necessária para qualquer instituição que receba ou armazene grandes quantidades de dados, sejam esses de funcionários, terceiros ou clientes.   

Desta forma, torna-se indispensável a importância desse profissional para as empresas, pois este abrange o compromisso de ultrapassar as fronteiras do território digital, integrando o máximo possível de esforços na proteção de dados atrelados a usuários.

Data Protection Officer e outros agentes da LGPD

A partir da LGPD, três importantes atribuições foram inseridas na legislação brasileira: o Controlador, Operador e Encarregado. Usualmente, a diferença entre controlador e operador está no seu poder de decisão. 

Enquanto o controlador é responsável pelas informações, o operador é a figura que, a partir das ordens concedidas, atua sobre os dados. Por isso, é essencial que o DPO conheça a legislação, tenha experiência em governança e entenda sobre segurança da informação. 

1. Encarregado dos dados (DPO)

O profissional de DPO é responsável por estabelecer a comunicação entre os titulares e autoridades nacionais, além de fornecer esclarecimentos, providências e orientações internas. 

Diferentemente do Controlador e do Operador, o encarregado não possui qualquer responsabilidade legal, ou seja, a responsabilidade da fiscalização de seu funcionário ou prestador de serviço, fica inteiramente à cargo do Controlador ou Operador, variando caso a caso. 

Vale ressaltar que, quando os dados do titular forem tratados pelo encarregado, este poderá fazer ao Controlador algumas solicitações: 

  • Confirmar a realização de tratamento; 
  • Acesso às informações tratadas; 
  • Nos dados que não forem completos, exatos e atualizados, poderá ser solicitada a correção; 
  • Dados dispensáveis, imoderados ou tratados em desacordo com a legislação, poderão ser tornados anônimos, bloqueados ou até eliminados;  
  • Os dados poderão ter a sua portabilidade transferidas, mas a sua requisição deve ser realizada de forma expressa, sempre em conformidade com a legislação;  
  • Os dados tratados mediante a anuência do seu titular, poderão ser eliminados;  
  • As entidades, de natureza pública ou privada, que fizeram uso de dados compartilhados pelo Controlador, poderão ter suas informações solicitadas;  
  • Dados a respeitos da probabilidade de não ocorrer a anuência e os possíveis desdobramentos negativos acarretados por esta ação;  
  • Rescisão da anuência; 

2. Controlador 

Como o próprio nome diz, este é o personagem responsável por controlar todas as etapas e decisões atreladas ao tratamento de dados, devendo sempre seguir o disposto pela LGPD, realizando a abordagem em consonância com os princípios, orientando corretamente o Operador, para que este realize um tratamento de acordo com o regulamento. 

Uma das obrigações atreladas à função de Controlador, é a composição do chamado “relatório de impacto à proteção de dados pessoais”, ou seja, uma documentação contendo as etapas descritas das metodologias de tratamento de informações sigilosas que podem resultar na violação de direitos e liberdades da vida civil, bem como direitos fundamentais dos usuários. 

Desta forma, é o Controlador quem responde pelos danos patrimoniais, morais, individuais ou coletivos, tal como violações à legislação, podendo resultar em dever de reparação ao usuário lesionado. 

3. Operador 

Quando falamos na cadeia de tratamento relativa aos dados pessoais, o Operador é aquele subordinado ao Controlador, ou seja, ele realiza o serviço seguindo as diretrizes trazidas pelo Controlador para tratar os dados de acordo com as políticas de privacidade e ao ordenamento jurídico, sempre com a obrigação de cumprir à risca as instruções que lhe forem fornecidas, levando em consideração os termos da LGPD.  

Assim como o Controlador, ele também responderá em nome do exercício de sua atividade, tratamento de dados pessoais, caso cause ao proprietário das informações qualquer dano de natureza moral, individual, coletiva ou quando relacionada ao patrimônio, em clara e evidente violação da legislação cabível. 

Como ser um Data Protection Officer 

Apesar do GDPR não incluir uma lista específica de credenciais atreladas a função de DPO, a legislação exige que, no mínimo, o agente de proteção possua “conhecimento especializado de leis e práticas de proteção de dados”. Sendo que a especialidade do DPO deve dialogar com a operação de processamentos de dados da organização e o nível de proteção necessário. 

Portanto, por mais que não se encontre cursos especializados ou de graduação com foco específico em profissionais de DPO, este é um especialista que atua em diversas áreas e ramos, pois acaba figurando em diversos departamentos da empresa. 

Muito mais do que simplesmente conhecer as leis e regulamentos nacionais e internacionais, este profissional precisa possuir competências específicas que, em decorrência da alta procura pelas instituições, foram colocadas em evidência, passando a exigir certificações aconselháveis para o exercício do cargo. Com base na norma ISO/IEC 27001, uma das principais certificações é a em “Fundamentos em Segurança da Informação”. 

Durante o processo de contratação de um DPO, é preciso garantir não só que este siga as práticas e diretrizes de proteção de dados, mas também que possua conhecimentos básicos em infraestrutura de TI, além de estrutura técnica e organizacional. É possível designar o cargo para um funcionário já contratado e que seja de confiança da empresa ou contratar um alguém especialmente para o exercício da função. 

Escrito por

Zenvia

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Leia também

Fique por dentro e confira as nossas dicas sobre o mercado mobile e interação digital.