Conteúdo

LGPD – Obrigações do controlador

Cabe ao controlador tomar as decisões acerca do tratamento de dados pessoais, bem como zelar por sua conservação. (Lei 13.709 de 14 de agosto de 2018)
Obrigações do controlador:
– Obter consentimento específico do titular para fim próprio quando houver, por parte do controlador, a necessidade de comunicar ou compartilhar dados pessoais com outros controladores, exceto em caso de o titular dos dados tê-los tornado manifestamente públicos. (Art. 7º, §§ 4º e 5º)
– Provar que o consentimento foi obtido em conformidade com a Lei. (Art. 8º, § 2º)
– Nas hipóteses em que o consentimento for requerido, se houver mudança da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade. Nesse momento, o titular poderá optar por renovar o consentimento ou revoga-lo.  (Art. 9, §2º)
– Tratar somente dados pessoais estritamente necessários para a finalidade pretendida – quando o tratamento for baseado no legítimo interesse do controlador – e adotar medidas para garantir a transparência do tratamento baseado no legítimo interesse.  (Art.10, caput, §§ 1º e 2º)
– Manter pública a informação sobre tratamento de dados pessoais de crianças e adolescentes tais com os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos titulares. (Art. 14, §2º)
– Conservar dados pessoais não eliminados, quando encerrado o período de tratamento, para cumprimento de obrigação legal ou regulatória. Também poderá fazer uso exclusivo desses dados, desde que anonimizados, sendo seu acesso por terceiros expressamente vedado na Lei. (Art. 16, inc. IV)
– Confirmar a existência ou providenciar o acesso a dados pessoais, mediante requisição do titular, em formato simplificado, imediatamente, ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contados da data do requerimento do titular. (Art. 19)
– Nas decisões automatizadas o controlador deverá fornecer, sempre que solicitadas, as informações claras e adequadas a respeito dos critérios e procedimentos para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20, §1º)
– Oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados na forma da LGPD, nos casos de transferência internacional de dados pessoais. (Art. 33)
– Manter registro das operações de tratamento de dados pessoais que realize, podendo a autoridade nacional determinar que seja elaborado relatório de impacto à proteção de dados (pessoais ou sensíveis) referente às suas operações. (Arts. 37 e 38)
– Fornecer instruções para o operador realizar o tratamento de dados pessoais, devendo o operador verificar a observância das próprias instruções e normas sobre a matéria. (Art.39)
– Indicar o encarregado pelo tratamento dos dados pessoais, divulgando publicamente, de forma clara e objetiva, preferencialmente no seu sítio eletrônico, a identidade do encarregado e suas informações de contato. (Arts. 23  e 41)
– Reparar, solidariamente com o operador ou não, se, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação ou descumprimento à legislação de proteção de dados.  (Art. 42)
– Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou lícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art.46)
– Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)
– Pode formular regras de boas práticas e de governança que estipulem condições de organização, procedimentos, normas de segurança, padrões técnicos, obrigações específicas, mecanismos internos de supervisão e mitigação de riscos, bem como outros aspectos relacionados ao tratamento de dados pessoais, desde que respeitadas suas competências. (Art. 50)