Os 5 pontos de atenção mais importantes dos Agentes de Tratamento de Dados

Livro Digital

Agentes de Tratamento de Dados é como se definem as pessoas físicas ou jurídicas que realizam algum tipo de tratamento de dados pessoais.

Os Agentes de Tratamento de Dados podem ser Controladores ou Operadores e tanto as suas características quanto suas responsabilidades são detalhadas pela LGPD.

Neste post explicitaremos os 5 pontos de atenção mais importantes dos Agentes de Tratamento de Dados, os quais devem requerer foco especial no momento de implantação do processo de adequação.

Responsabilidade Solidária

Os Arts. 42º, 43º, 44º e 45º definem os critérios que obrigam o Controlador e o Operador quanto a responsabilidade e o ressarcimento de danos.

O Art. 47º da LGPD define que os agentes Controladores e Operadores de tratamento de dados são obrigados a garantir a segurança da informação, mesmo após o término do tratamento dos dados.

Os Controladores e Operadores precisarão ter em sua operação de Governança de Dados Pessoais uma política formal para controlar o compartilhamento e os devidos registros dos mesmos, incluindo o “modus operandi” em cláusulas contratuais para que assim possam informar os detalhes deste evento a “Autoridade Nacional de Proteção de Dados —ANPD” e ao Titular.

Processo de Governança de Dados Pessoais

A necessidade da existência de um processo de governança e a adoção de boas práticas esta definida no Art. 50º da LGPD, no qual são relacionados critérios mínimos a serem atendidos.

Entre os critérios mínimos estabelecidos destacam-se:

  • Política interna para assegurar de forma abrangente, o cumprimento das normas e boas práticas relativas a proteção dos dados pessoais;
  • Política e salvaguarda adequada com base em processo de avaliação sistemática de impactos e riscos a privacidade;
  • Plano de resposta a incidente e remediação;
  • Atualização constante com base nas informações obtidas a partir do monitoramento contínuo e avaliações periódicas.

Contrato de Prestação de Serviços

Os contratos de prestação de serviços precisarão fazer parte do foco tanto dos Controladores quanto dos Operadores, pois em caso de incidente, ambos respondem solidariamente à fiscalização por parte da ANPD.

Um destaque importante é que para um Operador, o eventual incidente identificado junto ao Controlador pode não comprometê-lo, caso consiga demonstrar claramente que a falha não partiu de sua operação.

Já num cenário em que um Controlador atua com vários Operadores processando os dados pessoais sob sua tutela, necessariamente, o mesmo é responsável e precisará identificar se um ou mais Operadores também participam desta responsabilização.   

Fiscalização da ANPD

A ANPD esta a cada momento apresentando detalhes a respeito de como se dará sua atuação e um dos documentos que ela apresentou foi o Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

O RIPD é responsabilidade do Controlador, entretanto em seu relato deve ser apresentada informação detalhando o funcionamento do processo de Governança de Dados Pessoais, incluindo os Operadores, além de também apresentar indicadores estatísticos a respeitos dos dados tratados.

Penalizações

As sanções administrativas definidas em detalhes no Art. 52º e apresentadas a seguir podem impactar tanto o Controlador quanto o Operador e os critérios para a seleção da penalização a ser aplicada são definidos nos Arts., 53º e 54º.

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

VII – suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador;

VIII – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

IX – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.


Livro Digital

LGPD – Roteiro completo para adequar sua empresa

A realidade das empresas esta sendo modificada e quanto mais rapidamente o novo cenário for implantado, mais rapidamente as empresas terão seus riscos de incidentes e penalizações racionalizados.

Após ler este livro ficará claro para você quais são os impactos da LGPD na sua empresa, assim como o “passo a passo” que deve ser considerado no processo de adequação.

Mais detalhes ...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *