O conceito de controlador e a sua interação com o conceito de processador desempenham um papel crucial na aplicação do GDPR, uma vez que determinam quem será responsável pelo cumprimento das diferentes regras de proteção de dados e como os titulares dos dados podem exercer os seus direitos na prática.
O GDPR introduz explicitamente o princípio da responsabilidade, ou seja, o controlador deve ser responsável por, e ser capaz de demonstrar conformidade com os princípios relativos ao processamento de dados pessoais no artigo 5.
Além disso, o GDPR também introduz regras mais específicas sobre o uso de processador(s) e algumas das disposições sobre o processamento de dados pessoais são dirigidas – não apenas aos controladores – mas também aos processadores.
Por conseguinte, é da maior importância que o significado preciso destes conceitos e os critérios para a sua correta utilização sejam suficientemente claros e partilhados em toda a União Europeia e no EEE.
CONCEITOS
OBSERVAÇÕES GERAIS
O GDPR, no Artigo 5(2), introduz explicitamente o princípio da responsabilidade, o que significa que:
- o controlador é responsável pelo cumprimento dos princípios enunciados no artigo 5(1), do GDPR; e essa
- o controlador deve ser capaz de demonstrar o cumprimento dos princípios enunciados no artigo 5(1), do GDPR.
O objetivo de incorporar o princípio da responsabilidade ao GDPR e torná-lo um princípio central foi enfatizar que os controladores de dados devem implementar medidas adequadas e eficazes e serem capazes de demonstrar conformidade.
O princípio da responsabilidade foi elaborado no Artigo 24, que estabelece que o controlador deve implementar as medidas técnicas e organizacionais adequadas para garantir e ser capaz de demonstrar que o processamento é realizado de acordo com o GDPR. Essas medidas devem ser revistas e atualizadas, se necessário.
O princípio da responsabilidade também se reflete no artigo 28, que estabelece as obrigações do controlador ao contratar um processador.
O princípio da responsabilidade é dirigido diretamente ao controlador. No entanto, algumas das regras mais específicas são dirigidas a controladores e processadores, como as regras sobre os poderes das autoridades de supervisão no Artigo 58.
Ambos os controladores e processadores podem ser multados em caso de não cumprimento das obrigações do GDPR que são relevantes para eles e ambos são diretamente responsáveis perante as autoridades de supervisão em virtude das obrigações de manter e fornecer documentação apropriada quando solicitada, cooperar em caso de investigação e acatar ordens administrativas.
Ao mesmo tempo, deve-se lembrar que os processadores devem sempre cumprir e agir somente de acordo com as instruções do controlador.
O princípio da responsabilização, juntamente com as demais regras mais específicas sobre o cumprimento do GDPR e a repartição da responsabilidade, torna necessário definir as diferentes funções dos vários intervenientes numa atividade de processamento de dados pessoais.
Uma observação geral sobre os conceitos de controlador e processador no GDPR é que eles não mudaram em comparação com a Diretiva 95/46/EC e que, em geral, os critérios de atribuição das diferentes funções permanecem os mesmos.
Os conceitos de controlador e processador são conceitos funcionais: eles visam alocar responsabilidades de acordo com as funções reais das partes.
Isso implica que o status legal de um ator como “controlador” ou “processador” deve, em princípio, ser determinado por suas atividades reais em uma situação específica, ao invés da designação formal de um ator como sendo um “controlador” ou “processador” (por exemplo, em um contrato).
Os conceitos de controlador e processador também são conceitos autônomos no sentido de que, embora fontes jurídicas externas possam ajudar a identificar quem é o controlador, devem ser interpretados principalmente de acordo com a legislação da UE em matéria de proteção de dados.
O conceito de controlador não deve ser prejudicado por outros – às vezes colidindo ou se sobrepondo – conceitos em outros campos do direito, como o criador ou o titular dos direitos de propriedade intelectual ou direito da concorrência.
Como o objetivo subjacente da atribuição do papel de controlador é garantir a responsabilidade e a proteção efetiva e abrangente dos dados pessoais, o conceito de “controlador” deve ser interpretado de forma suficientemente ampla, a fim de garantir o pleno efeito da legislação de proteção de dados da UE, para evitar lacunas e para prevenir possível contornar as regras.
Link para o arquivo completo: https://bit.ly/36imaHq
Adaptado por: Darcy Junior
