Falar sobre LGPD é falar sobre lei, é nada melhor para falar sobre lei do que uma verdadeira autoridade no assunto. Hoje vamos abordar os conceitos de agentes de tratamento, afinal, quem são os responsáveis pela obtenção e proteção de dados, quais seus deveres e direitos? E junto comigo na edição, apresento a vocês Emanuele Fraga, a Manu, nossa QA aqui na Pris, formada em Direito, pós graduada em Direito Digital e especialista em LGPD. Além disso tuuuudo, a Manu agora faz parte da Segunda Segura, então vamos ver a carinha (ou palavrinhas) dela muito por aqui!

O que são agentes de tratamento?

São os indivíduos que ficarão responsáveis pela guarda e manipulação dos dados. A LGPD os divide em duas categorias: Controlador e Operador. O Controlador é quem decide sobre a finalidade do uso dos dados e a maneira como os dados serão tratados, e o Operador é quem realiza o tratamento em nome do Controlador. Pode ser uma pessoa natural ou jurídica, do setor público ou privado. “Há vários cenários possíveis”, Manu explica. “Então você consegue enxergar a Pris como Controladora, como Operadora, e em algumas situações ela vai ser os dois.”

Vamos pensar no cenário como um serviço, como o Pris, que possui dados de beneficiários de empresas clientes. Os titulares dos dados, nesse caso, são os colaboradores das empresas clientes da Pris, e as empresas clientes da Pris, o Controlador. Já a Pris é o Operador, e usa os dados de beneficiários dos clientes da maneira como o Controlador definiu. 

E como uma empresa se torna um Controlador? A Manu explica que não existem burocracias ou definições, e sim faz parte da natureza da empresa, e do contexto do uso dos dados e da análise do cenário.

Como o Controlador e o Operador trabalham juntos?

Existe na LGPD um princípio de necessidade: “[esse princípio] diz que a gente só deve compartilhar ou solicitar dados extremamente necessários para aquela situação, aquela finalidade.” A Manu dá o exemplo da BeeVale, nosso vale aqui da Pris: “Qual a finalidade da BeeVale nesse quesito de prestação de serviço? Transferir o valor do ticket, fazer o cartão para nós. Então a BeeVale precisa de data de nascimento? Não precisa. Precisa de informações sobre o nosso tipo sanguíneo? Não precisa. (...) Tem dados que não são necessários para essa finalidade.”

E ao falarmos sobre isso, a Manu ainda esclarece que pessoas físicas podem (e devem!) questionar o uso dos dados. “Na verdade, a LGPD veio para dar muito poder para nós, o titular dos dados tem muito poder. Meus dados, minhas regras!” A ideia é que, estando na posição de Controlador ou Operador, as empresas mantenham-se coerentes com a LGPD e que esse compromisso seja transparente em ambas as partes.

No cenário do exemplo anterior, a Pris é considerada Operadora e tratará apenas os dados dos clientes de acordo com a finalidade destinada do OR, ou seja, o cliente Pris não fornece todos os dados que tem dos colaboradores e transfere apenas o que é necessário, podendo, inclusive, questionar caso entenda que a Pris está solicitando dados além do que é pedido para o uso do OR. 

E onde entra a ANPD, e qual sua atuação?

“Ela vai fiscalizar, ela vai punir, aplicar sanções, multas quando necessário.” A ANPD, por ser uma autarquia, pode realizar vários tipos de atuação na aplicação da LGPD. Mas isso veremos na próxima edição, que vai nos contar tudo sobre a ANPD, sua criação, sua autonomia e outras coisas mais!

Um agradecimento especial à Manu, que deu explicações incríveis e materiais ótimos para a criação desta edição.