• Eduardo Natale

Orientações sobre os conceitos de controlador e operador no GDPR, do EDPB (sumário executivo)



Introdução


Os conceitos de controlador, controlador conjunto e operador desempenham um papel crucial na aplicação do Regulamento Geral de Proteção de Dados (GDPR), já que determinam quem deve ser responsável pela conformidade com as diferentes regras de proteção de dados, e como os titulares de dados podem exercer seus direitos na prática. O significado preciso desses conceitos e os critérios para sua correta interpretação devem ser suficientemente claros e consistentes através do Espaço Econômico Europeu (EEE).


Os conceitos de controlador, controlador conjunto e operador são conceitos funcionais no sentido de que visam alocar as responsabilidades de acordo com os verdadeiros papéis das partes e conceitos autônomos no sentido de que devem ser interpretados principalmente de acordo com o direito da União Europeia sobre proteção de dados.

Controlador


Em princípio, não existe limitação quanto ao tipo de entidade que pode assumir o papel de controlador, mas, na prática, geralmente é a organização como tal, e não um indivíduo dentro da organização (como o CEO, um empregado ou um membro da diretoria), que age como um controlador.


Um controlador é uma entidade que decide certos elementos-chave do tratamento de dados. A condição de controlador pode ser definida por lei ou pode originar-se de uma análise dos elementos fáticos ou das circunstâncias do caso. Certas atividades de tratamento podem ser vistas como vinculadas naturalmente ao papel da entidade (um empregador em relação aos empregados, um editor aos assinantes ou uma associação aos seus membros). Em muitos casos, os termos de um contrato podem ajudar a identificar o controlador, apesar de não serem decisivos em todas as circunstâncias.


Um controlador determina as finalidades e os meios do tratamento, isso é, o porquê e o como do tratamento. O controlador tem que decidir sobre ambos os propósitos e os meios. Contudo, alguns aspectos mais práticos da implementação (“meios não-essenciais”) podem ser deixados ao operador. Não é necessário que o controlador realmente tenha acesso aos dados que estão sendo tratados para ser qualificado como controlador.

Controladores conjuntos


A qualificação como controladores conjuntos pode surgir onde mais de um ator está envolvido no tratamento. O GDPR introduz regras específicas para controladores conjuntos e estabelece um framework para governar sua relação. O critério fundamental para uma controladoria conjunta existir é a participação conjunta de duas ou mais entidades na determinação das finalidades e meios de uma operação de tratamento.


A participação conjunta pode tomar a forma de decisões comuns tomadas por duas ou mais entidades ou resultar de decisões convergentes por duas ou mais entidades, onde as decisões se complementam e são necessárias para o tratamento ocorrer de tal forma que tenham um impacto tangível na determinação das finalidades e meios do tratamento. Um critério importante é que o tratamento não seria possível sem a participação de ambas as partes no sentido de que o tratamento por cada parte é inseparável, isso é, inextricavelmente ligados. A participação conjunta necessita incluir, por um lado, a determinação das finalidades e, de outro lado, a determinação dos meios.

Operador


Um operador é uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão, que trata dados pessoais em nome do controlador. Duas condições básicas para qualificar o operador existem: ser uma entidade separada em relação ao controlador e tratar dados pessoais em nome do controlador.


O operador não pode tratar os dados de forma diversa das instruções do controlador. As instruções do controlador podem, entretanto, deixar certo grau de discrição sobre como melhor servir os interesses do controlador, permitindo ao operador escolher os meios técnicos e organizacionais mais adequados. Contudo, um operador infringe o GDPR se excede as instruções do controlador e começa a determinar suas próprias finalidades e meios do tratamento. O operador será então considerado um controlador e poderá estar sujeito a sanções por ir além das instruções do controlador.

Relação entre controlador e operador


Um controlador tem que utilizar apenas operadores que proporcionam garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de modo que o tratamento atinja as exigências do GDPR. Elementos a serem levados em consideração poderiam ser o conhecimento especializado do operador (por exemplo, expertise técnica referente a medidas de segurança e vazamento de dados); a confiabilidade do operador; os recursos do operador e a aderência do operador a um código de conduta aprovado ou mecanismo de certificação.


Qualquer tratamento de dados pessoais por um operador precisa ser regido por um contrato ou outro ato jurídico escrito, incluindo a forma eletrônica, e vinculável. O controlador e o operador podem escolher negociar seu próprio contrato incluindo todos os elementos obrigatórios ou valer-se de cláusulas-padrão contratuais.


O GPDR lista os elementos que precisam ser estabelecidos no contrato de tratamento. Este instrumento não deve, contudo, meramente reafirmar as previsões do GDPR; ao invés disso, deve incluir informações mais concretas e específicas de como os requisitos serão cumpridos e qual nível de segurança é necessário para o tratamento de dados pessoais objeto do contrato.

Relação entre controladores conjuntos


Controladores conjuntos devem, de uma maneira transparente, determinar e concordar sobre suas respectivas responsabilidades de cumprir as obrigações sob o GDPR. A determinação das respectivas responsabilidades devem, em particular, considerar o exercício dos direitos dos titulares de dados e os dever de fornecer informação. Além disso, a distribuição das responsabilidades devem cobrir outras obrigações do controlador, tais como as relativas aos princípios gerais de proteção de dados, bases legais, medidas de segurança, obrigação de notificação de incidentes, avaliações de impacto sobre a proteção de dados, uso de operadores, transferências para países terceiros e contatos com os titulares de dados e autoridades de controle.


Cada controlador conjunto tem o dever de garantir que possui uma base legal para o tratamento e que os dados não são tratados posteriormente de forma incompatível com as finalidades para as quais foram inicialmente coletados pelo controlador compartilhando os dados.


A forma jurídica do acordo entre controladores conjuntos não é especificada pelo GDPR. Por razões de segurança jurídica, e para proporcionar transparência e responsabilização, o EDPB recomenda que tal arranjo serja feito na forma de um documento vinculativo, tal como um contrato ou outro ato jurídico ao abrigo do Direito da União Europeia ou do Estado-membro a que os controladores estão sujeitos.


O acordo deve refletir adequadamente os respectivos papéis e as relações dos controladores conjuntos face aos titulares de dados e a essência do acordo deve ser posta à disposição do titular.


Independentemente dos termos do acordo, os titulares de dados podem exercer seus direitos em relação e contra cada um dos controladores conjuntos. As autoridades de controle não estão vinculadas aos termos do acordo, quer quanto à questão da qualificação das partes como controladores conjuntos, quer quanto ao ponto de contato designado.

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook