Com o advento da LGPD, Lei de n. 13.709/2018, que é voltada para a proteção de dados pessoais, surgiram muitas dúvidas com várias nomenclaturas trazidas por elas, mas ao mesmo tempo a Lei trouxe um glossário em seu artigo 5º, para que todos saibam o que significa cada uma dessas palavras.

O Art. 5º dá a natureza jurídica, o conceito de quem é quem dentro da LGPD.

Os agentes de tratamento na LGPD, são o controlador e o operador.

São 5 personagens na LGPD: o controlador, operador, DPO, titular e a ANPD

“Art. 5º Para os fins desta Lei, considera-se:

…

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões   tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

…”

O que é tratamento na Lei?

O tratamento na lei é toda a operação realizada com dados pessoais como as que se refere a: “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”

Controlador

O controlador, é toda pessoa jurídica de direito público ou privado, ou seja, todos tem que se adequar (os CNPJ’s), quando fala em pessoa jurídica de direito público são todos sem exceção, Federal, estadual e municipal.

E quando fala em pessoa natural? Se não tem nenhum lucro envolvido, a pessoa não é controladora, mas se a pessoa promove algum evento com fins lucrativos e solicita dados das pessoas que as identificam ou as tornam identificáveis, nesse caso a pessoa é controladora. Todas as pessoas que coletam dados pessoais com fins lucrativos, como o rol de clientes, por exemplo, que forneceram os dados pra eles, é considerado controlador, precisa se adequar a LGPD.

Uma entidade filantrópica sem fins lucrativos tem que se adequar, pois não é pessoa natural, todos os CNPJ’s, mesmo aqueles sem fins lucrativos devem se adequar.

O controlador é quem vai tomar a decisão sobre como será tratado os dados, pode ser pessoa jurídica de direito público e as pessoas jurídicas de direito privados, independente se tem lucro, conforme já falado acima.

Operador

O operador, pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador.

O operador não tem livre arbítrio, só pode tratar o dado pessoal que recebe do controlador com a finalidade determinada pelo por este (controlador), para isso é necessário ter um contrato ente operador e controlador especificando essas finalidades e como o operador deverá tratar os dados.

O controlador pode processar o operador por desvio de finalidade, caso ele não cumpra o determinado em contrato, é incidente de segurança o descumprimento do tratamento dos dados com base na determinação do controlador. Incidente de segurança não é só invasão de hacker nos sistemas, falaremos sobre ele em outro momento.

O operador é um departamento terceirizado da empresa. Exemplo de operadores: contador, administradora de condomínio quando externa, empresa de segurança, de portaria, entre outros.

Nenhum funcionário é operador.

Kariny Antunes Farina