Artigo 39: A Relação Controlador-Operador e a Divisão de Responsabilidades

Art. 39. O deverá realizar o segundo as instruções fornecidas pelo , que verificará a observância das próprias instruções e das normas sobre a matéria.

O que isso significa na prática?

Este artigo estabelece a dinâmica de poder e responsabilidade na relação mais comum de de dados: entre o e o .

O Segue Ordens: O é a entidade que processa os dados em nome do . Sua função é estritamente executar as tarefas conforme as instruções recebidas. Ele não toma decisões sobre a finalidade ou os meios essenciais do . Pense nele como um prestador de serviço especializado.
O Fiscaliza: O é o “dono” do processo de . Além de dar as instruções, ele tem o dever de verificar se o está cumprindo essas ordens e se está agindo de acordo com a LGPD. A responsabilidade final perante o e a ANPD é, primariamente, do .

Em resumo, a lei cria uma relação de confiança e verificação. O confia no para executar uma tarefa, mas nunca deixa de ser o principal responsável, devendo garantir que seu parceiro é competente e está em conformidade.

Como se Aplica ao seu Negócio?

Na prática, quase toda empresa é um que contrata diversos operadores. Este artigo define as regras dessa relação.

📑 A Importância do Contrato (DPA): A relação entre e deve ser formalizada em um contrato que inclua cláusulas específicas de proteção de dados (um “Data Processing Addendum” - DPA). Este documento deve detalhar as instruções do .

🕵️ Due Diligence de Fornecedores: Antes de contratar um (um sistema de RH em nuvem, uma agência de marketing), o deve fazer uma due diligence, ou seja, uma verificação para garantir que aquele fornecedor tem condições de proteger os dados e cumprir a lei.

🔍 Direito de Auditoria: O deve ter o direito de verificar a conformidade do . Isso pode ser feito através de auditorias, questionários de segurança ou exigindo certificações. A verificação mencionada na lei não é opcional.