Show
IntroduçãoIntrodução Este é o exame simulado EXIN Privacy & Data Protection Essentials (PDPE.PR). As regras e regulamentos do exame do EXIN se aplicam a este exame. Este exame consiste de 20 questões de múltipla escolha. Cada questão de múltipla escolha possui um certo número de alternativas de resposta, entre as quais apenas uma resposta é a correta. O número máximo de pontos que pode ser obtido neste exame é 20. Cada resposta correta vale 1 ponto. Você precisa de 13 pontos ou mais para passar no exame. O tempo permitido para este exame é de 30 minutos. Boa Sorte! Copyright © EXIN Holding B.V. 2020. All rights reserved. Com a vigência da LGPD, muitas dúvidas têm surgido entre os gestores. Entre as principais, a definição de alguns termos descritos na lei têm causado confusão, como é o caso de: controlador, operador e encarregado. Mesmo com a breve definição descrita no texto da lei, ainda é difícil para alguns distinguir os papéis de controlador, operador e encarregado dentro do processo de tratamento de dados pessoais de uma organização. Quem são o Controlador, Operador e Encarregado?O controlador, operador e encarregado possuem diferentes objetivos, conforme determina a Lei Geral de Proteção de Dados. Enquanto os dois primeiros são agentes de tratamento, o encarregado é um profissional nomeado por esses agentes para, sobretudo, atuar como canal de comunicação. Essas três figuras são descritas no artigo 5º da LGPD (lei nº 13.709/2018) da seguinte forma:
Para entendermos com mais profundidade a definição de controlador, operador e encarregado na LGPD, vamos detalhar, a seguir, os papéis de cada um deles. Quer se tornar um especialista em LGPD certificado pela EXIN? Acesse a página de cursos do Certifiquei e confira nosso curso Privacy & Data Protection – Essentials! Qual é a função do Controlador?O controlador é a figura que está no topo da cadeia de tratamento de dados. Em síntese, o controlador é a parte que se beneficia do tratamento de determinados dados pessoais. Se compararmos a LGPD com a lei europeia, ou o Regulamento Geral de Proteção de Dados (GDPR), o controlador é a figura equivalente ao “responsável”. Ou seja, é o controlador que detém o poder de realizar o tratamento de dados pessoais com o devido consentimento do titular e respeitando as bases legais, podendo ser uma pessoa ou uma empresa. Isso quer dizer que é o controlador que toma todas as decisões no tocante ao processamento desses dados pessoais, como qual a finalidade para quais os dados pessoais serão usados, sobre quais indivíduos irá coletar dados pessoais, por quanto tempo irá retê-los e etc.. Para exemplificar o papel do controlador, podemos usar a figura de uma empresa de serviços call center contratada por um banco. O banco é a organização que se beneficia do tratamento dos dados pessoais, o responsável, ou seja, o controlador. Mas é a terceirizada contratada quem, de fato, realiza a coleta desses dados pessoais. Do mesmo modo, esses papéis também podem corresponder a pessoas naturais e, não necessariamente, a duas empresas distintas. Assim, a empresa deve designar uma pessoa dentro da corporação que auxiliará nas decisões tomadas no tocante ao tratamento de dados pessoais. Responsabilidades do controladorO papel do controlador na LGPD e as suas principais responsabilidades podem ser pontuados da seguinte maneira.
Qual é a função do Operador?Já o operador é a figura que realiza o tratamento dos dados em nome do controlador. Ou seja, na cadeia de tratamento de dados pessoais o operador é subordinado do controlador. Se a LGPD for comparada à lei europeia, a GDPR, o operador é o agente equivalente ao “processador”. Cabe ao operador seguir as diretrizes impostas pelo controlador no tratamento de dados pessoais, de acordo com as políticas de privacidade e respeitando a LGPD. Por sua vez, o controlador verifica a observância de suas próprias instruções pelo operador. Vale ressaltar que o operador está limitado apenas ao tratamento de dados pessoais, de acordo com as instruções do controlador, não podendo, portanto, obter controle sobre os dados pessoais ou alterar a finalidade ou uso dos mesmos. Contudo, apesar de estar subordinado ao controlador, o operador também possui responsabilidades perante a lei. Portanto, o operador que, em razão da atividade de tratamento de dados pessoais, causar qualquer dano patrimonial, moral, individual ou coletivo, violando a LGPD, também estará obrigado a repará-lo. Podemos, então, ter operadores como pessoais naturais, contratadas pela empresa controladora, que executam o que a organização melhor define para o tratamento de dados pessoais. Do mesmo modo, também podemos ter o controlador como uma empresa contratada por outra. Dentro do exemplo dado no tópico anterior, o operador seria, então, a empresa de serviços call center contratada pelo banco. Responsabilidades do operadorEntão, podemos definir como papel do operador na LGPD os pontos a seguir.
Além disso, o operador possui liberdade para usar o seu conhecimento técnico a fim de decidir como melhor executar as atividades em nome do controlador. Contudo, ressaltamos novamente, ele não toma decisões sobre o que é feito com esses dados pessoais. Assim, o operador pode decidir sobre:
Qual é a função do Encarregado ou DPO?Por fim, o encarregado é o profissional indicado pelo controlador para atuar como canal de comunicação entre o próprio controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Em síntese, o encarregado é o profissional que auxilia a organização a adaptar seus processos à LGPD. Comparando a LGPD com a lei europeia, o encarregado é a figura equivalente ao DPO, ou Data Protection Officer. É importante notar que a lei não define o encarregado como um agente de tratamento, como no caso do controlador e do operador. Contudo, esse deve atuar em conjunto com os outros dois agentes. A lei também não determina que o encarregado responda legalmente. Ou seja, entende-se que cabe ao controlador a fiscalização desse profissional, tendo responsabilidade em caso de incidentes. O que a lei deixa claro, no entanto, é que a identidade e as informações de contato do encarregado devem ser divulgadas publicamente, preferencialmente no sítio eletrônico do controlador. Responsabilidade do encarregadoDe acordo com a lei, o papel do encarregado LGPD consiste em:
Por fim, a LGPD ainda deixa claro que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado. Como se tornar um especialista em privacidade e proteção de dados?Com a vigência cada vez mais próxima da LGPD, muitas organizações têm se preocupado em adaptar-se o mais breve possível. Para isso, portanto, também devem estar prontas para distribuir as funções internamente dentro do programa de privacidade e proteção de dados, como o do encarregado. Para realizar o papel de encarregado com êxito são precisos diversos conhecimentos, como em gestão de dados pessoais, segurança da informação e na própria LGPD, por exemplo. A EXIN, empresa de certificações reconhecida no mercado de TI, conta com um programa de qualificações voltado especialmente para os profissionais que desejam ter esse conhecimento e compreensão na prática profissional. Dentro desse programa ela oferece certificações a vários níveis, buscando preparar profissionais e organizações para a adequarem-se às normas da LGPD. Para o controlador e operador é importante contar com um encarregado que possua principalmente estas duas certificações: A primeira, em Privacy and Data Protection Essentials (PDPE), valida os fundamentos básicos de privacidade e proteção de dados e conhecimentos sobre a LGPD. EBOOK GRATUITO | PDPE: o primeiro passo para entender proteção de dados e LGPD Baixe o ebook gratuito para saber tudo sobre a certificação PDPE e ficar por dentro dos principais pontos da LGPD! EBOOK GRATUITO | PDPE: o primeiro passo para entender proteção de dados e LGPD A segunda certificação, em Privacy and Data Protection Practitioner (PDPP), valida o conhecimento sobre a GDPR e o aplica à prática profissional. Já para adquirir o título de encarregado, ou DPO, pela EXIN, o profissional deverá possuir três certificações, sendo elas:
Agora que você conhece os papéis de controlador, operador ou encarregado, prepare-se para estar de acordo com a LGPD com os cursos do Certifiquei e tire sua certificação o quanto antes. O que deve ser feito para que um controlador possa terceirizar o tratamento de dados pessoais para um operador?A) O controlador deve pedir permissão à autoridade supervisora para terceirizar o processamento dos dados. B) O controlador deve perguntar à autoridade supervisora se o contrato firmado está em conformidade com seus regulamentos.
Quando o controlador e ou o operador podem fazer o tratamento dos dados pessoais?Decisão. De fato, a diferença entre os controlador e operador está no poder de decisão. O operador pode realizar o tratamento de dado, mas isso ocorre a partir das ordens de um controlador, que, por sua vez, apresenta-se como o “dono” ou responsável por essas informações.
Quais são os principais requisitos para o tratamento de dados pessoais?O tratamento de dados pessoais somente poderá ser feito: - Com o fornecimento de consentimento do titular das informações pessoais. Ou seja, nos casos em que a pessoa física tiver conhecimento de como e por qual razão os seus dados serão utilizados, além de autorizar expressamente o tratamento.
Quem realiza o tratamento de dados pessoais em nome do controlador?O controlador é quem toma as decisões referentes ao tratamento de dados pessoais e o operador, aquele que realiza o tratamento de dados pessoais em nome do controlador.
|