Os conceitos de controlador, controlador conjunto e processador desempenham um papel crucial na aplicação do Regulamento Geral de Proteção de Dados 2016/679 (GDPR), uma vez que determinam quem será responsável pelo cumprimento das diferentes regras de proteção de dados e como os titulares dos dados podem exercer seus direitos na prática. O significado preciso destes conceitos e os critérios para a sua correta interpretação devem ser suficientemente claros e consistentes em todo o Espaço Económico Europeu (EEE).
Os conceitos de controlador, controlador conjunto e processador são conceitos funcionais na medida em que visam atribuir responsabilidades de acordo com as funções reais das partes e conceitos autônomos no sentido de que devem ser interpretados principalmente de acordo com a legislação da UE em matéria de proteção de dados.
Controlador
Em princípio, não há limitação quanto ao tipo de entidade que pode assumir a função de controlador, mas na prática geralmente é a organização como tal, e não um indivíduo dentro da organização (como o CEO, um funcionário ou um membro do conselho), que atua como um controlador.
Um controlador é uma entidade que decide certos elementos-chave do processamento. A função de controlador pode ser definida por lei ou pode ser o resultado da análise dos elementos factuais ou circunstâncias do caso concreto.
Certas atividades de processamento podem ser vistas como naturalmente vinculadas ao papel de uma entidade (um empregador para os funcionários, um criador de conteúdo para os assinantes ou uma associação para seus membros). Em muitos casos, os termos de um contrato podem ajudar a identificar o controlador, embora não sejam decisivos em todas as circunstâncias.
Um controlador determina as finalidades e meios do processamento, ou seja, o porquê e como o processamento. O controlador deve decidir sobre as finalidades e os meios em que serão processados os dados dos titulares. No entanto, alguns aspectos mais práticos da implementação (“meios não essenciais”) podem ser deixados para o processador. Não é necessário que o controlador tenha acesso aos dados que estão sendo processados para ser qualificado como controlador.
Controladores conjuntos (Joint Controllers)
A qualificação como controladores conjuntos pode surgir quando mais de um ator está envolvido no processamento. O GDPR apresenta regras específicas para controladores conjuntos e define uma estrutura (framework) para governar este relacionamento.
O critério geral para a existência de “controladoria” conjunta é a participação conjunta de duas ou mais entidades na determinação das finalidades e os meios de uma operação de processamento.
A participação conjunta pode assumir a forma de decisão comum tomada por duas ou mais entidades ou resultar de decisões convergentes de duas ou mais entidades, em que as decisões se complementam e são necessárias para que o processamento seja realizado de forma a que tenham um impacto tangível na determinação das finalidades e meios do processamento.
Um critério importante é que o processamento não seria possível sem a participação de ambas as partes, no sentido de que o processamento por cada parte é inseparável, ou seja, inseparavelmente ligado.
A participação conjunta deve incluir a determinação de objetivos, por um lado, e a determinação dos meios, por outro.
Processador
Um processador é uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do responsável pelo tratamento (controlador).
Existem duas condições básicas para se qualificar como processador:
- que seja uma entidade separada em relação ao controlador e
- que processe dados pessoais em nome do controlador.
O processador não deve processar os dados de outra forma que não seja de acordo com as instruções do controlador.
As instruções do controlador ainda podem deixar um certo grau de discrição sobre a melhor forma de atender aos interesses do controlador, permitindo que o processador escolha os meios técnicos e organizacionais mais adequados.
Um processador infringe o GDPR, no entanto, se for além das instruções do controlador e começar a determinar seus próprios propósitos e meios de processamento.
O processador será então considerado um controlador em relação a esse processamento e pode estar sujeito a sanções por ir além das instruções do controlador.
Relação entre controlador e processador
Um controlador deve usar apenas processadores que forneçam garantias suficientes para implementar medidas técnicas e organizacionais adequadas para que o processamento atenda aos requisitos do GDPR.
Os elementos a serem levados em consideração podem ser:
- o conhecimento especializado do processador (por exemplo, conhecimento técnico em relação a medidas de segurança e violações de dados);
- a confiabilidade do processador;
- os recursos do processador e a adesão do processador a um código de conduta aprovado ou mecanismo de certificação.
Qualquer processamento de dados pessoais por um processador deve ser regido por um contrato ou outro ato legal que deve ser feito por escrito, inclusive em formato eletrônico, e ser vinculativo.
O controlador e o processador podem optar por negociar o seu próprio contrato incluindo todos os elementos obrigatórios ou por confiar, no todo ou em parte, em cláusulas contratuais padrão.
O GDPR lista os elementos que devem ser definidos no acordo de processamento.
O acordo de processamento não deve, entretanto, apenas reafirmar as disposições do GDPR; em vez disso, deve incluir informações mais específicas e concretas sobre como os requisitos serão atendidos e qual nível de segurança é necessário para o processamento de dados pessoais que é o objeto do acordo de processamento.
Relacionamento entre controladores conjuntos
Os controladores conjuntos devem, de maneira transparente, determinar e chegar a um acordo sobre as respectivas responsabilidades pelo cumprimento das obrigações decorrentes do GDPR.
A determinação das respectivas responsabilidades deve, em particular, respeitar o exercício dos direitos dos titulares dos dados e os deveres de prestação de informações.
Além disso, a distribuição de responsabilidades deve abranger outras obrigações do controlador, como em relação aos:
- princípios gerais de proteção de dados,
- base jurídica,
- medidas de segurança,
- obrigação de notificação de violação de dados,
- avaliações do impacto da proteção de dados,
- o uso de processadores,
- transferências de países terceiros e
- contatos com titulares dos dados e autoridades de supervisão.
Cada responsável pelo tratamento tem o dever de assegurar que dispõe de uma base jurídica para o processamento e que os dados não são posteriormente processados de forma incompatível com os fins para os quais foram originalmente coletados pelo controlador que compartilha os dados.
A forma jurídica do acordo entre controladores conjuntos não é especificada pelo GDPR.
Por motivos de segurança jurídica, e a fim de proporcionar transparência e responsabilidade, o EDPB (European Data Protection Board) recomenda que tal acordo seja feito na forma de um documento vinculativo, como um contrato ou outro ato jurídico vinculativo ao abrigo da legislação da UE ou dos Estados-Membros, ao qual os controladores estão sujeitos.
O acordo deve refletir devidamente as respectivas funções e as relações dos controladores conjuntos com os titulares dos dados e a essência do acordo devem ser disponibilizados aos titulares dos dados.
Independentemente dos termos do acordo, os titulares dos dados podem exercer os seus direitos em relação a cada um dos controladores conjuntos.
As autoridades de supervisão não estão vinculadas aos termos do acordo, seja no que diz respeito à questão da qualificação das partes como controladores conjuntos ou a designação do ponto de contato.
Link para o arquivo completo: https://bit.ly/36imaHq
Adaptado por: Darcy Junior