O agente público que lida com informações também pode ser considerado controlador e operador de dados pessoais e, assim, também responde pelas inconformidades. Afinal, a Lei Geral de Proteção de Dados reconhece a sua responsabilidade entre os agentes de tratamento.
O artigo 5 da LGPD, no inciso IX, fala sobre o controlador e o operador. Ali fica explícito que ambos são agentes de tratamento.
Nesse material, falarei mais sobre o agente público como controlador e operador de dados pessoais. Para esclarecer suas dúvidas, continue acompanhando.
Controlador de dados pessoais
É importante salientar que o controlador de dados pessoais é o agente de tratamento. Isso porque compete a ele tratar todos os dados pessoais do órgão. Sendo assim, ele determina os intuitos dos processamentos de informações, bem como os seus meios e metas.
Um exemplo é o da legislação da União Europeia. O controlador de dados é o responsável pelo tratamento, sendo essa uma ação essencial na jornada de implementação e conformidade. Portanto, é importante definir quem é o operador e quem é o controlador.
Já o operador é a pessoa que trata os dados sob as orientações do controlador. Portanto, é certo dizer que há uma terceirização de atividade na hora de tratar os dados.
Uma pessoa pode ser contratada para ser operadora de dados em algumas atividades específicas. Entretanto, os funcionários, servidores públicos e sócios, bem como outros profissionais que integram a pessoa jurídica, não podem ser considerados agentes de tratamento.
Os agentes de tratamento no Brasil
A LGPD do Brasil se inspirou na Diretiva 94/46/CE, que entrou em vigor durante o Regulamento Geral de Proteção de Dados da União Europeia. Ressaltamos que o Regulamento Geral de Proteção de Dados renovou a Diretiva, porém, não houve a incorporação de bases legais de tratamento.
Em nosso país, os agentes de tratamento, conforme a LGPD, são o controlador e operador. Eles podem ser entendidos como:
Controlador
Pessoa natural ou jurídica que pode ser um agente de tratamento. Ele também pode ser de direito público ou privado, tendo como responsabilidade decidir o tratamento de dados pessoais.
Operador
Também pode ser uma pessoa natural ou jurídica, de direito público ou privado, que seja um agente de tratamento de dados pessoais, mas faz isso em nome do controlador.
Entretanto, o que diferencia o operador e o controlador são os seus poderes de decisão, pois o controlador vai fornecer as instruções que o operador precisa para realizar o tratamento de dados.
Por exemplo, um controlador de dados pode compartilhar com um contador a folha de pagamento da sua empresa.
Esses dados poderão ser tratados conforme as instruções precisas do controlador. Portanto, não podem ser usados para outra finalidade.
O operador tem poder de decisão sobre como tratar os dados fornecidos pelo controlador. Por exemplo, em qual ferramenta irá arquivar essas informações, se haverá uma planilha restrita ou de acesso a todos, além de outras informações administrativas.
O que é fazer um tratamento de dados?
Hoje em dia, quase todas as organizações fazem o tratamento dos seus dados. Afinal, em quase tudo o que fazemos deixamos alguma informação pessoal, ainda que seja em uma simples consulta. Sempre há um cadastro, não é mesmo?
As informações precisam ser tratadas com segurança e sigilo. Dados pessoais dos clientes são como ouro e, por isso, há a Lei Geral de Proteção de Dados, para que o setor público e privado tratem esses dados com o máximo cuidado.
A lei também rege as informações digitais. Portanto, os dados passados a uma empresa via internet têm de ser guardados com segurança.
A LGPD foi criada para que os dados dos cidadãos não fossem passados adiante de forma prejudicial. Portanto, essas informações precisam ser retidas e sua gestão deve ser feita corretamente.
Pessoa natural como agente de tratamento de dados
No momento em que a LGPD conceitua o controlador e operador, entende que eles podem ser pessoas naturais. Por isso, os agentes não podem ser colaboradores, pessoas de nenhum departamento da empresa, gestores, sócios ou servidores.
Um advogado pode ser o controlador de uma empresa. Mas um médico também pode ser, desde que seja uma clínica para a qual ele faça a gestão de dados dos prontuários dos pacientes. Ou seja, qualquer pessoa que não tenha vínculo com os empregados da empresa.
Conforme o Guia da Autoridade Nacional de Proteção de Dados, a mesma da União Europeia, os colaboradores que atuam em subordinação às decisões do controlador devem ser os operadores de dados pessoais.
Conclusão
Estamos diante de uma nova cultura e, portanto, um cenário nasceu para que os dados pessoais dos cidadãos sejam protegidos. Afinal, há anos havia essa necessidade de proteger os direitos de liberdade e privacidade da pessoa natural.
Depois que as novas tecnologias invadiram o mercado, essa gestão de dados passou a ficar imperceptível, portanto, foi necessária a criação dessa lei. Assim, a inovação e o algoritmo podem ajudar a proteger tais informações.
Os controladores, então, são responsáveis por esse compromisso com a sociedade. Seja de forma isolada ou em conjunto com um operador, tendo diversos graus de autonomia para realizar o tratamento de dados.
Mesmo que os operadores façam o trabalho quando requisitado, essa é uma responsabilidade do controlador, não sendo justa a transferência. Afinal, ele está sob orientação do controlador para realizar a tarefa.
Todas as pessoas vinculadas a uma empresa ou entidade pública só respondem pelo controle de dados caso haja algum problema.
Isso porque seus atos expressam a atuação da organização, podendo responder a processos disciplinares e a ações judiciais.
Mas isso só acontece se os colaboradores e servidores descumprirem as políticas internas de Proteção de Dados, seja por dolo ou culpa.
Por fim, se você tiver mais dúvidas ou problemas em relação à LGPD, tratamento de dados e outras questões sobre o direito digital, recomendo que fale com advogado especialista.