Do Controlador e do Operador
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
a - apoio e promoção de atividades do controlador; e
b - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. Observado o disposto, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.
Do Encarregado pelo Tratamento de Dados Pessoais
Tanto a LGPD como o GDPR permitem que um DPO possa atender a várias organizações. Importante que ele esteja facilmente acessível por todas as organizações que atende. O GDPR e a LGPD não estabelecem as qualificações mínimas exigidas para sua atuação.
De acordo com o esquema de certificação de DPO proposto pelo CNIL (Autoridade da França), existem 17 conhecimentos específicos que um DPO precisa ter:
1. Compreender e entender os princípios da legalidade do processamento , limitação de finalidades, minimização de dados, exatidão dos dados, retenção limitada de dados, integridade, confidencialidade e responsabilidade;
2. Saber como identificar a base legal para um tratamento;
3. Saber como determinar as medidas apropriadas e o conteúdo das informações a serem fornecidas aos titulares;
4. Saber como estabelecer procedimentos para receber e gerenciar solicitações para o exercício dos direitos dos titulares;
5. Conhecer a estrutura legal relacionada à terceirização do processamento de dados pessoais;
6. Saber como identificar a existência de transferências de dados fora do país e como determinar os instrumentos legais de transferência que podem ser usados;
7. Saber como desenvolver e implementar uma política ou regras interna s de proteção de dados;
8. Saber como organizar e participar de auditorias de proteção de dados;
9. Estar familiarizado com o conteúdo do registro de atividades de processamento , a categoria do registro de atividades de processamento e a documentação de violações de dados, bem como a documentação necessária para comprovar a conformidade com os regulamentos de proteção de dados;
10. Saber como identificar medidas de proteção de dados a partir do design e, por padrão , adaptado aos riscos e à natureza das operações de processamento;
11. Saber participar da identificação de medidas de segurança apropriadas aos riscos e à natureza das operações de processamento;
12. Saber como identificar violações de dados pessoais que exigem notificação à autoridade supervisora e aquelas que exigem comunicação com os titulares dos dados;
13. Saber se é necessário ou não realizar uma avaliação de impacto na proteção de dados ( DPIA ) e saber como verificar sua implementação;
14. Fornecer consultoria sobre avaliação de impacto na proteção de dados (especialmente sobre metodologia, possível terceirização, medidas técnicas e organizacionais a serem adotadas);
15. Saber como gerenciar as relações com as autoridades de supervisão , respondendo às solicitações e facilitando a ação (investigação de reclamações e controles em particular);
16. Ser capaz de desenvolver, implementar e oferecer programas de treinamento e conscientização para a equipe e a gerência sênior sobre proteção de dados;
17. Saber como garantir a rastreabilidade de suas atividades , principalmente com a ajuda de ferramentas de monitoramento ou relatório anual. (https://www.passeidireto.com/arquivo/79518984/8-encarregado-ou-dpo)
O encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
As atividades do encarregado consistem em:
a - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
b - receber comunicações da autoridade nacional e adotar providências;
c - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
d - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Da Responsabilidade e do Ressarcimento de Danos
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
A fim de assegurar a efetiva indenização ao titular dos dados:
a - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão;
b - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão.
O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
Excludentes de Responsabilidades
Os agentes de tratamento só não serão responsabilizados quando provarem:
a - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
b - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
c - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
a - o modo pelo qual é realizado;
b - o resultado e os riscos que razoavelmente dele se esperam;
c - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança, der causa ao dano.
As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
Clique aqui para continuar: Curso Completo e Gratuito-Lei Geral de Proteção de Dados LGPD
Atenção
Clicando na Imagem, acessar-se-á: Assessoria à Empresas e Entidades Religiosas.
