A Autoridade Nacional de Proteção de Dados (ANPD) recentemente publicou um guia orientativo com definições legais sobre os agentes de tratamento de dados (controlador, operador e encarregado) perante a Lei Geral de Proteção de Dados (LGPD).
Segundo esse guia, o controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e definição de sua a finalidade. Entre as decisões estão instruções fornecidas a operadores para fazer o tratamento de dados pessoais.
Ainda que o controlador também trate de dados pessoais, o elemento distintivo é o poder de decisão, admitindo-se que o controlador forneça as instruções para que um terceiro (“operador”) realize o tratamento em seu nome.
Na maioria das vezes, o controlador será uma pessoa jurídica, seja de direito privado ou de direito público. Neste sentido, como exemplo, temos as sociedades empresárias ou entidades públicas que tomam decisões sobre o tratamento de dados pessoais gerido nas organizações.
Uma pessoa natural também pode ser controladora nas situações em que é a responsável pelas principais decisões referentes ao tratamento. Nesse caso, a pessoa natural age de forma independente e em nome próprio. Como exemplos, os empresários individuais, os profissionais liberais, advogados, contadores e médicos.
A LGPD atribui obrigações específicas ao controlador, como a de elaborar relatório de impacto à proteção de dados pessoais, a de comprovar que o consentimento obtido do titular atende às exigências legais e a de comunicar à ANPD a ocorrência de incidentes de segurança.
Ademais, a atribuição de responsabilidades em relação à reparação por danos decorrentes de atos ilícitos é distinta de acordo com a qualificação do agente de tratamento, isto é, se for controlador ou operador de tratamento de dados pessoais.
Destaca-se, ainda, que os direitos dos titulares são, em regra, exercidos perante o controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais e receber requerimentos de oposição ao tratamento de dados pessoais.
Assim, identificar corretamente o controlador é de suma importância para as empresas, pois ele será o responsável pelas principais decisões relativas ao tratamento de dados pessoais.