Fale com um especialista +55 11 3141 9009

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Português
  • Quem Somos
  • LGPD
  • Áreas de Atuação
  • Equipe
  • Imprensa
  • Opinião Jurídica
  • Contato

Consultoria jurídica

Conte conosco para adequação à LGPD

U

Sobre a LGPD

O que é e para quem vale



Materiais Exclusivos

E-books com muita informação sobre LGPD

Preciso de uma consultoria 



Dados Cast

Dados Cast: O podcast do Assis e Mendes

LGPD

Informações sobre Lei Geral de Proteção de Dados


DIREITO DIGITAL

Informações sobre Direito Digital


DIREITO EMPRESARIAL

Informações sobre Direito Empresarial

E-BOOKS PARA DOWNLOAD

b

2021

b

2020

b

2019



Anos anteriores

Fale com o Assis e Mendes

CONTROLADORES E OPERADORES NA LGPD

Colunistas, LGPD

O arti­go 5º da Lei Ger­al de Pro­teção de Dados (LGPD) apre­sen­ta um rol de definições dos ter­mos e agentes pre­vis­tos no orde­na­men­to. Em espe­cial, os incisos VI e VII são claros ao prescreverem:

 

Con­tro­lador: pes­soa nat­ur­al ou jurídi­ca, de dire­ito públi­co ou pri­va­do, a quem com­petem as decisões ref­er­entes ao trata­men­to de dados pessoais; 

 

Oper­ador: pes­soa nat­ur­al ou jurídi­ca, de dire­ito públi­co ou pri­va­do, que real­iza o trata­men­to de dados pes­soais em nome do controlador;

 

Assim, a primeira vista, parece que as relações entre estes dois “agentes de trata­men­to” (denom­i­nação expres­sa nos arti­gos 37 a 40 da LGPD) são e estão clara­mente delin­eadas, o que facil­i­taria a iden­ti­fi­cação práti­ca. Doce ilusão!

 

Nes­ta inten­sa vivên­cia aux­il­ian­do nos­sos clientes nos pro­je­tos de ade­quação a LGPD, não foram pou­cas as vezes que nos deparamos com situ­ações neb­u­losas nas quais as partes podem, simul­tane­a­mente, fig­u­rar como con­tro­lador e operador. 

 

Para mel­hor com­preen­são, vamos anal­is­ar o seguinte cenário:

 

A dire­to­ria da empre­sa “A” decide con­ced­er a seus empre­ga­dos con­vênio médi­co. Para tan­to, cel­e­bra con­tra­to com a empre­sa de assistên­cia médi­ca “Plano B”. Pelo con­tra­to, a empre­sa “Plano B” fornecerá assistên­cia médi­ca hos­pi­ta­lar, dire­ta­mente, a todos os fun­cionários da empre­sa “A”.

 

Assim, para per­fei­ta exe­cução do con­tra­to, a empre­sa “Plano B” terá aces­so a todos os dados pes­soais, inclu­sive sen­síveis, dos fun­cionários da empre­sa “A”.

 

Até aqui nen­hu­ma dúvi­da. A empre­sa “A” é a con­tro­lado­ra dos dados de seus fun­cionários e a empre­sa “Plano B” operadora. 

 

Mas essa relação é per­pé­tua e imutáv­el? A empre­sa “A”, sem­pre será a con­tro­lado­ra dos dados oper­a­dos pela empre­sa “Plano B”? 

 

Note que os fun­cionários da empre­sa “A”, emb­o­ra não ten­ham con­trata­do ou sequer inter­agi­do com a empre­sa “Plano B”, rece­berão carteiras de iden­ti­fi­cação em nome próprio, que lhe garan­tirão o aces­so aos serviços da “Plano B”, como se con­tratantes fossem.

 

Assim, imag­inemos a seguinte situ­ação: fun­cionário da empre­sa “A”, ben­efi­ciário do con­tra­to aqui anal­isa­do, após ser acometi­do por séria doença, real­iza trata­men­to médi­co na empre­sa “Plano B”. Pouco tem­po depois con­sta­ta que seus dados pes­soais, bem como todas as infor­mações rel­a­ti­vas ao trata­men­to médi­co recen­te­mente real­iza­do, foram expos­tos na inter­net após inci­dente, com grande reper­cussão, de vaza­men­to de dados pes­soais ocor­ri­do na  empre­sa “Plano B”. 

 

Impor­tante ressaltar que a empre­gado­ra empre­sa “A” nun­ca teve aces­so aos relatórios médi­cos dos seus fun­cionários e sequer tin­ha con­hec­i­men­to da doença con­traí­da pelo empre­ga­do em questão.

 

E ago­ra? A empre­sa “A” con­tin­ua sendo con­tro­lado­ra dos dados envi­a­dos e uti­liza­dos pela empre­sa “Plano B” para exe­cução do con­tra­to de fornec­i­men­to de con­vênio médi­co a seus funcionários?

 

No inci­dente nar­ra­do a empre­sa “A” deve per­manecer como con­tro­lado­ra dos dados?

 

Ao nos­so ver, não! 

 

Isso porque, emb­o­ra ten­ha real­iza­do o com­par­til­hamen­to dos dados, ao rece­bê-los a empre­sa “Plano B” pas­sa ter total gerên­cia e con­t­role das infor­mações, pas­san­do a uti­lizá-los para a prestação de serviços exclu­sivos e dire­tos aos ben­efi­ciários final.

 

A empre­sa “A”, emb­o­ra seja a con­tratante ini­cial, não tem aces­so, muito menos con­t­role, sobre as ações e pro­ced­i­men­tos real­iza­dos pelos usuários per­ante a empre­sa por ela contratada. 

 

Aliás, a uti­liza­ção dos serviços pelos fun­cionários, por si só, já faz com que a quan­ti­dade de dados pes­soais armazena­dos pela empre­sa con­trata­da seja maior do que o ini­cial­mente com­par­til­ha­do pela empre­sa con­tratante para a exe­cução do contrato.

 

Por este ângu­lo não se mostra razoavel­mente aceitáv­el que a empre­sa “A” seja apon­ta­da como con­tro­lado­ra num inci­dente de vaza­men­to de dados pes­soais que sequer teve acesso.

 

Deste modo acred­i­ta­mos que a definição de con­tro­lador e oper­ador deve ser anal­isa­da fluxo a fluxo, em out­ras palavras, não se pode deter­mi­nar quem é quem na relação con­trat­u­al anal­isan­do ape­nas o cenário macro. 

 

Por­tan­to, o cor­re­to e pro­fun­do mapea­men­to dos flux­os de dados pes­soais se tor­na cada vez mais urgente e pri­mor­dial, não somente para a elab­o­ração dos relatórios pre­vis­tos em lei, mas tam­bém para a ade­qua­da definição das partes e suas respon­s­abil­i­dades nas diver­sas cir­cun­stân­cias que podem vir a ocor­rer durante a vigên­cia do contrato.

 

Caso ten­ha dúvi­das quan­to a posição da sua empre­sa no trata­men­to de dados pes­soais entre em con­ta­to com nos­sos advo­ga­dos espe­cial­is­tas em Dire­ito Dig­i­tal e Lei Ger­al de Pro­teção de Dados, pelo site www.assisemendes.com.br.

 

BIANCA PINHEIRO é advo­ga­da na área de Dire­ito Dig­i­tal e Pro­teção de Dados no Assis e Mendes Advo­ga­dos. Espe­cial­ista em Dire­ito Públi­co e Lei Ger­al de Pro­teção de Dados. Pós-grad­uan­da em Gov­er­nança de Tec­nolo­gia da Infor­mação pela Uni­camp. Cer­ti­fi­cações: DPO (Data Pro­tec­tion Offi­cer) – LGPD pela Assespro/RS; PDPE (Pri­va­cy and Data Pro­tec­tion Essen­tials) e PDPF (Pri­va­cy and Data Pro­tec­tion Foun­da­tion) – EXIN.

 

Categorias

  • Bots
  • Colunistas
  • Compliance
  • Coronavirus
  • Cyberbullying
  • Direito de família
  • Direito digital
  • Direito Empresarial
  • Direito Imobiliário
  • Direito tributário
  • Imprensa
  • Lei da Liberdade Econômica
  • LGPD
  • Não categorizado
  • Outros
  • Privacidade
  • Segurança da Informação
  • Sem categoria
  • Stalking
  • Tecnologia
  • Trabalhista

Inscreva-se para nossa NewsLetter

Tags

ANPD aplicação LGPD assessoria jurídica cibercrime CLT contrato contrato de trabalho contratos contrato societário crimes virtuais direito a privacidade direito digital Direito Empresarial direito trabalhista direito tributário e-commerce empreendedor empreendedorismo empresas featured GDPR impostos internet investimento lei de proteção de dados Lei Geral de Proteção de Dados lei LGPD LGPD loja virtual privacidade privacidade na internet privacidade na web privacidade online proteção de dados redes sociais segurança segurança da informação segurança digital segurança jurídica site sociedade startup startups tecnologia vazamento de dados

O escritório

  • Quem Somos
  • Advogados
  • Premiações e reconhecimento
  • Áreas de Atuação

Informações Legais

  • Política de Privacidade
  • Termos de Uso
  • Trabalhe conosco
  • Imprensa
  • Contato

Fale com um especialista

11 3141 9009
Alameda Santos, 1165
Paulista - CEP 01419-001 - SP

Redes Sociais

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir

© Assis e Mendes Advogados - Direito Digital, Empresarial e Proteção de Dados - 2020