O artigo integra uma série de textos para analisar os conceitos listados no art. 5º da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e tem como objeto a definição do controlador.

De acordo com o inciso VI do art. 5º da Lei Geral de Proteção de Dados, o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.

O controlador é o destinatário e o responsável pelo tratamento de dados pessoais, com ou sem o consentimento do titular (de acordo com a base legal utilizada).

Trata-se da pessoa (natural ou jurídica, de direito público ou privado) que tem o poder de decisão sobre os dados pessoais, que define o que será feito com eles, isto é, como serão tratados, qual a finalidade do tratamento, com quem serão compartilhados, como serão armazenados, entre outros aspectos.

Assim, compete ao controlador tomar as decisões relativas ao tratamento de dados pessoais.

Em uma pessoa jurídica, o controlador não é necessariamente uma pessoa natural que ocupa determinado cargo, mas sim a própria pessoa jurídica.

As principais atribuições do controlador são:

(a) A obtenção dos dados pessoais e a realização das demais atividades de tratamento, com fundamento em uma das bases legais (arts. 7º e 11 da LGPD);

(b) Cumprir os direitos dos titulares dos dados pessoais (art. 18 da LGPD);

(c) Providenciar a elaboração do relatório de impacto à proteção de dados pessoais (arts. 5º, XVII, 10, § 3º, e 38, da LGPD);

(d) A indicação do encarregado pelo tratamento de dados pessoais (arts. 5º, VIII, e 41, da LGPD);

(e) A responsabilidade pelos danos causados aos titulares em virtude do exercício de atividade de tratamento de dados pessoais (arts. 42 e 44, parágrafo único, da LGPD);

(f) A manutenção de registro das operações de tratamento de dados pessoais que realizar, especialmente quando forem baseadas no seu legítimo interesse (art. 37 da LGPD);

(g) Elaborar regras internas de boas práticas e de governança no tratamento dos dados pessoais (art. 50 da LGPD);

(h) A prestação de informações à Autoridade Nacional de Proteção de Dados e ao titular sobre a ocorrência de incidente de segurança que possa causar risco ou dano relevante aos titulares (art. 48 da LGPD);

(i) A comprovação da prestação do consentimento pelo titular para o tratamento de dados pessoais (art. 8º, § 2º, da LGPD).

Em suma, o controlador define (ou tem o poder de decidir) como os dados são tratados (de acordo com as regras legais) e, por isso, assume o tratamento de dados pessoais perante o titular, motivo pelo qual deve acompanhar todo o ciclo de vida dos dados (da coleta ao descarte adequado), com a manutenção de seu sigilo, deve prestar contas às autoridades e aos titulares, além informar (ao titular e à ANPD) as providências adotadas para a preservação dos dados quando ocorrer um incidente.

O poder de decisão sobre os dados pessoais traz ao controlador, como consequência, o dever de garantir a transparência no tratamento e de assegurar o cumprimento dos direitos dos titulares durante todo o ciclo de vida dos dados coletados, direta ou indiretamente (por meio do operador).

Por isso, o controlador tem os deveres de se identificar (art. 9º, III) e fornecer os seus dados de contato (art. 9º, IV), de prestar informações aos titulares de modo claro, adequado e ostensivo (art. 9º, caput), sobre a finalidade específica do tratamento (art. 9º, I), sua forma e duração do tratamento, respeitados os segredos comerciais e industriais (art. 9º, II), sobre eventual uso compartilhado dos dados e a finalidade (art. 9º, V), as responsabilidades dos agentes que realizarão o tratamento (art. 9º, VI) e esclarecer quais são os direitos do titular (art. 9º, VII, todos da LGPD).

No Direito Comparado, o art. 4º do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia conceitua o “responsável pelo tratamento” (controller) como “a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro” (art. 4º.7).


Autor


Informações sobre o texto

Como citar este texto (NBR 6023:2018 ABNT)

CARDOSO, Oscar Valente. Glossário da Lei Geral de Proteção de Dados - 06) Controlador. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 25, n. 6360, 29 nov. 2020. Disponível em: https://jus.com.br/artigos/85605. Acesso em: 16 jan. 2021.

Comentários

0

Autorizo divulgar minha mensagem juntamente com meus dados de identificação.
A divulgação será por tempo indeterminado, mas eu poderei solicitar a remoção no futuro.
Concordo com a Política de Privacidade e a Política de Direitos e Responsabilidades do Jus.

Regras de uso