Segundo a LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento: controlador e operador.
O controlador é definido pela lei (artigo 5º, VI, LGPD) como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador é quem toma as decisões referentes ao tratamento dos dados pessoais ao longo do ciclo de vida dos dados, ele determina as finalidades e os meios de tratamento, avalia o enquadramento nas bases legais e, principalmente, cabe a ele garantir o cumprimento dos direitos dos titulares.
O operador é definido pela lei (artigo 5º, VII, LGPD) como a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e de acordo com as instruções fornecidas pelo controlador (artigo 39º, LGPD). O operador não possui poder decisório, mas pode ser responsabilizado solidariamente por violações que vier causar à LGPD.
Quem é o Encarregado (DPO)?
O encarregado é o profissional que responde pela proteção dos dados na empresa e que fará contato com a Autoridade Nacional de Proteção de Dados (ANPD) quando necessário. Em inglês, este papel é denominado Data Protection Officer (DPO).
Além do contato com a ANPD, o encarregado também atua como canal de comunicação entre o controlador e os titulares de dados pessoais. Ele é o responsável por aceitar eventuais reclamações dos titulares, bem como as comunicações dos titulares e da ANPD, prestar esclarecimentos e adotar providências necessárias.
O encarregado também é responsável por orientar internamente os colaboradores do controlador a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
A LGPD não obriga que o encarregado seja um funcionário do controlador, então ele pode ser representado por um terceiro ou empresa contratada para esta função.
Como características comuns do papel do encarregado observa-se que ele reporta diretamente a diretoria da empresa e tenha certa autonomia.
O artigo 41º da LGPD diz que as atribuições do encarregado são:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
- Além das atribuições citadas na LGPD, também pode-se citar estas:
- Avaliar os mecanismos de tratamento e proteção de dados existentes e propor políticas, estratégias e metas para a empresa ficar em conformidade com a LGPD;
- Formular princípios e diretrizes para a gestão de dados pessoais;
- Supervisionar a execução dos planos, dos projetos e das ações aprovadas para viabilizar a implantação das diretrizes previstas na lei;
- Manter registro de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas.
Quem é a ANPD?
A lei estabelece que seja criada a Autoridade Nacional de Proteção de Dados (ANPD) que é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional, vinculada à Presidência da República.
A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade às empresas para certificar-se de que as organizações estão tratando o tema internamente e dentro do estabelecido pela LGPD.
A autoridade nacional emitirá opiniões técnicas ou recomendações e poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
Aqui estão algumas das atribuições da ANPD citadas no artigo 55º, J, da LGPD:
- Zelar pela proteção dos dados pessoais, nos termos da legislação;
- Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação;
- Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
- Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
- Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
- Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;
- Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade;
- Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização;
- Celebrar compromisso com agentes de tratamento para eliminar irregularidade;
- Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte possam adequar-se a esta lei;
- Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta lei, as suas competências e os casos omissos;
- Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; e,
- Implementar mecanismos simplificados para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta lei.