ARTIGOS LGPD

CONTROLADOR X OPERADOR

Por Marcos Túlio - Diretor da Assespro RJ e Sócio Escritório WCW
Por que é importante distinguir Controladores e Operadores? A natureza de suas obrigações, dependerá de você ser um controlador, controlador conjunto ou operador. Portanto, é muito importante que você considere cuidadosamente sua função e responsabilidades em relação às suas atividades de tratamento de dados, para que entenda:
 Suas obrigações com a Lei e como cumpri-las;
 Suas responsabilidades com os indivíduos e autoridades de supervisão e as penalidades associadas ao não cumprimento, como multas e outras sanções previstas;
 Como você pode trabalhar com outras organizações para garantir o tratamento de dados pessoais com responsabilidade e respeitar os direitos dos indivíduos.

Os controladores (incluindo controladores conjuntos) têm mais obrigações segundo a GDPR do que os operadores, porque eles decidem quais dados pessoais são coletados e por quê, e exercem o controle final sobre os dados. Os controladores do Reino Unido também devem pagar uma taxa de proteção de dados, a menos que sejam isentos. Os operadores têm menos obrigações, mas devem ter o cuidado de tratar apenas dados pessoais de acordo com as instruções do controlador relevante.

Como determinar se você é um controlador ou operador?

É importante lembrar que uma organização não é por natureza um controlador ou operador. Em vez disso, você precisa considerar os dados pessoais e a atividade de processamento que está ocorrendo, e considerar quem está determinando os objetivos e a forma desse processamento específico.
É necessário perguntar qual organização decide:

 Coletar dados pessoais em primeiro lugar;
 A base legal para fazê-lo
 Quais tipos de dados pessoais coletar;
 A finalidade ou as finalidades para as quais os dados devem ser usados
 Sobre quais indivíduos coletar dados; 
 Se deve divulgar os dados e, em caso afirmativo, a quem;
 O que dizer às pessoas sobre o tratamento;
 Como responder às solicitações feitas de acordo com os direitos dos indivíduos; 
 Por quanto tempo reter os dados ou se devem ser feitas alterações não rotineiras nos dados.

Todas essas são decisões que só podem ser tomadas pelo controlador como parte de seu controle geral da operação de tratamento de dados. Se você tomar qualquer uma dessas decisões determinando os propósitos e meios do tratamento, você será um controlador.

No entanto, dentro dos termos de seu contrato com o controlador, um operador pode decidir:
 Quais sistemas de TI ou outros métodos usar para coletar dados pessoais;
 Como armazenar os dados pessoais;
 Os detalhes das medidas de segurança para proteger os dados pessoais;
 Como irá transferir os dados pessoais de uma organização para outra;
 Como ele recuperará dados pessoais sobre determinados indivíduos;
 Como irá garantir o cumprimento de um cronograma de retenção;
 Como excluirá ou descartará os dados.
Essas listas não são exaustivas, mas ilustram as diferenças entre as funções do controlador e do operador. Em certas circunstâncias, e quando permitido no contrato, um processador pode ter a liberdade de usar seus conhecimentos técnicos para decidir como realizar certas atividades em nome do controlador. No entanto, não pode tomar nenhuma das decisões gerais, como quais tipos de dados pessoais coletar ou para que os dados pessoais serão usados. Essas decisões devem ser tomadas apenas pelo controlador.


Criado com