Pular para o conteúdo
Compliance MSPA

Artigo 39: A Relação Controlador-Operador e a Divisão de Responsabilidades

Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

O que isso significa na prática?

Seção intitulada “O que isso significa na prática?”

Este artigo estabelece a dinâmica de poder e responsabilidade na relação mais comum de tratamento de dados: entre o controlador e o operador.

  1. O Operador Segue Ordens: O operador é a entidade que processa os dados em nome do controlador. Sua função é estritamente executar as tarefas conforme as instruções recebidas. Ele não toma decisões sobre a finalidade ou os meios essenciais do tratamento. Pense nele como um prestador de serviço especializado.

  2. O Controlador Fiscaliza: O controlador é o “dono” do processo de tratamento. Além de dar as instruções, ele tem o dever de verificar se o operador está cumprindo essas ordens e se está agindo de acordo com a LGPD. A responsabilidade final perante o titular e a ANPD é, primariamente, do controlador.

Em resumo, a lei cria uma relação de confiança e verificação. O controlador confia no operador para executar uma tarefa, mas nunca deixa de ser o principal responsável, devendo garantir que seu parceiro é competente e está em conformidade.

Como se Aplica ao seu Negócio?

Seção intitulada “Como se Aplica ao seu Negócio?”

Na prática, quase toda empresa é um controlador que contrata diversos operadores. Este artigo define as regras dessa relação.

📑 A Importância do Contrato (DPA): A relação entre controlador e operador deve ser formalizada em um contrato que inclua cláusulas específicas de proteção de dados (um “Data Processing Addendum” - DPA). Este documento deve detalhar as instruções do controlador.

🕵️ Due Diligence de Fornecedores: Antes de contratar um operador (um sistema de RH em nuvem, uma agência de marketing), o controlador deve fazer uma due diligence, ou seja, uma verificação para garantir que aquele fornecedor tem condições de proteger os dados e cumprir a lei.

🔍 Direito de Auditoria: O controlador deve ter o direito de verificar a conformidade do operador. Isso pode ser feito através de auditorias, questionários de segurança ou exigindo certificações. A verificação mencionada na lei não é opcional.