Símbolo do Jus.com.br Jus.com.br
Artigo Selo Verificado Destaque dos editores

Glossário da Lei Geral de Proteção de Dados - 06) Controlador

Agenda 29/11/2020 às 22:35

O artigo integra uma série de textos para analisar os conceitos listados no art. 5º da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e tem como objeto a definição do controlador.

De acordo com o inciso VI do art. 5º da Lei Geral de Proteção de Dados, o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.

O controlador é o destinatário e o responsável pelo tratamento de dados pessoais, com ou sem o consentimento do titular (de acordo com a base legal utilizada).

Trata-se da pessoa (natural ou jurídica, de direito público ou privado) que tem o poder de decisão sobre os dados pessoais, que define o que será feito com eles, isto é, como serão tratados, qual a finalidade do tratamento, com quem serão compartilhados, como serão armazenados, entre outros aspectos.

Assim, compete ao controlador tomar as decisões relativas ao tratamento de dados pessoais.

Em uma pessoa jurídica, o controlador não é necessariamente uma pessoa natural que ocupa determinado cargo, mas sim a própria pessoa jurídica.

As principais atribuições do controlador são:

(a) A obtenção dos dados pessoais e a realização das demais atividades de tratamento, com fundamento em uma das bases legais (arts. 7º e 11 da LGPD);

(b) Cumprir os direitos dos titulares dos dados pessoais (art. 18 da LGPD);

(c) Providenciar a elaboração do relatório de impacto à proteção de dados pessoais (arts. 5º, XVII, 10, § 3º, e 38, da LGPD);

(d) A indicação do encarregado pelo tratamento de dados pessoais (arts. 5º, VIII, e 41, da LGPD);

(e) A responsabilidade pelos danos causados aos titulares em virtude do exercício de atividade de tratamento de dados pessoais (arts. 42 e 44, parágrafo único, da LGPD);

(f) A manutenção de registro das operações de tratamento de dados pessoais que realizar, especialmente quando forem baseadas no seu legítimo interesse (art. 37 da LGPD);

(g) Elaborar regras internas de boas práticas e de governança no tratamento dos dados pessoais (art. 50 da LGPD);

(h) A prestação de informações à Autoridade Nacional de Proteção de Dados e ao titular sobre a ocorrência de incidente de segurança que possa causar risco ou dano relevante aos titulares (art. 48 da LGPD);

(i) A comprovação da prestação do consentimento pelo titular para o tratamento de dados pessoais (art. 8º, § 2º, da LGPD).

Em suma, o controlador define (ou tem o poder de decidir) como os dados são tratados (de acordo com as regras legais) e, por isso, assume o tratamento de dados pessoais perante o titular, motivo pelo qual deve acompanhar todo o ciclo de vida dos dados (da coleta ao descarte adequado), com a manutenção de seu sigilo, deve prestar contas às autoridades e aos titulares, além informar (ao titular e à ANPD) as providências adotadas para a preservação dos dados quando ocorrer um incidente.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

O poder de decisão sobre os dados pessoais traz ao controlador, como consequência, o dever de garantir a transparência no tratamento e de assegurar o cumprimento dos direitos dos titulares durante todo o ciclo de vida dos dados coletados, direta ou indiretamente (por meio do operador).

Por isso, o controlador tem os deveres de se identificar (art. 9º, III) e fornecer os seus dados de contato (art. 9º, IV), de prestar informações aos titulares de modo claro, adequado e ostensivo (art. 9º, caput), sobre a finalidade específica do tratamento (art. 9º, I), sua forma e duração do tratamento, respeitados os segredos comerciais e industriais (art. 9º, II), sobre eventual uso compartilhado dos dados e a finalidade (art. 9º, V), as responsabilidades dos agentes que realizarão o tratamento (art. 9º, VI) e esclarecer quais são os direitos do titular (art. 9º, VII, todos da LGPD).

No Direito Comparado, o art. 4º do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia conceitua o “responsável pelo tratamento” (controller) como “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro” (art. 4º.7).

Sobre o autor
Oscar Valente Cardoso

Professor, Doutor em Direito, Diretor Geral da Escola da Magistratura Federal do Rio Grande do Sul, Coordenador do Comitê Gestor de Proteção de Dados do TRF da 4a Região, Palestrante, Autor de Livros e Artigos, e Juiz Federal

Como citar este texto (NBR 6023:2018 ABNT)

CARDOSO, Oscar Valente. Glossário da Lei Geral de Proteção de Dados - 06) Controlador. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 25, n. 6360, 29 nov. 2020. Disponível em: https://jus.com.br/artigos/85605. Acesso em: 17 nov. 2024.

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!