Published on

LGPD na Prática: Agentes de Tratamento, Direitos do Titular e Responsabilidades

Authors
  • avatar
    Name
    Rodrigo Peixoto
    Twitter

Introdução

A Lei nº 13.709/2018 — Lei Geral de Proteção de Dados (LGPD) — estabelece regras claras sobre como dados pessoais devem ser tratados no Brasil, definindo responsabilidades, direitos e mecanismos de governança.

Mais do que uma exigência jurídica, a LGPD é hoje um pilar de segurança da informação, gestão de riscos e governança corporativa.

Neste artigo, vamos explorar de forma técnica e estruturada:

  • Quem são os agentes de tratamento
  • O papel do Encarregado (DPO)
  • Os direitos dos titulares
  • O regime simplificado para pequenos agentes
  • Pontos críticos de responsabilidade

1. Agentes de Tratamento

A LGPD define os atores envolvidos no tratamento de dados pessoais, cada um com responsabilidades distintas.

1.1 Controlador

É a pessoa natural ou jurídica responsável pelas decisões essenciais do tratamento.

Ele define:

  • Finalidade (por quê?)
  • Base legal
  • Quais dados serão tratados
  • Por quanto tempo
  • Com quem serão compartilhados

📌 Responsabilidade primária: responde perante o titular e a ANPD.

Exemplo prático:

Uma empresa de e-commerce que coleta dados para realizar vendas é a controladora desses dados.

1.2 Operador

É quem realiza o tratamento em nome do controlador, seguindo suas instruções.

Não decide finalidade. Executa atividades como:

  • Processamento de dados
  • Armazenamento
  • Hospedagem
  • Análises

Exemplo:

Empresa de cloud contratada para armazenar dados de clientes.

1.3 Suboperador

É contratado pelo operador para auxiliar na execução do tratamento.

⚠ Boa prática:

  • Autorização formal do controlador
  • Cláusulas contratuais claras
  • Avaliação de risco e segurança

1.4 Controladoria Conjunta

Ocorre quando dois ou mais agentes determinam conjuntamente as finalidades e meios do tratamento.

Consequência jurídica:

  • Responsabilidade solidária por danos

Exemplo:

Parcerias estratégicas onde ambas as empresas definem como e para que os dados serão utilizados.

1.5 Importante: Funcionários não são agentes

Colaboradores internos atuam sob o poder diretivo da organização.

A responsabilidade é da instituição, não do empregado individualmente (salvo dolo ou culpa grave).

2. O Encarregado (DPO)

O Encarregado de Dados atua como ponte entre:

  • Controlador
  • Titulares
  • ANPD

Funções principais

  • Receber reclamações e solicitações
  • Prestar esclarecimentos
  • Receber comunicações da ANPD
  • Orientar colaboradores sobre boas práticas

Requisitos práticos

  • Canal de contato público
  • Autonomia funcional
  • Conhecimento em proteção de dados e segurança

⚠ Embora a lei não exija certificação específica, maturidade técnica é altamente recomendada.

3. Direitos dos Titulares

A LGPD consolida o princípio da Autodeterminação Informativa: o titular tem controle sobre seus dados.

3.1 Confirmação e Acesso

Direito de saber:

  • Se há tratamento
  • Quais dados estão sendo tratados

3.2 Correção

Retificação de dados:

  • Incompletos
  • Inexatos
  • Desatualizados

3.3 Anonimização, Bloqueio ou Eliminação

Aplicável quando:

  • Dados são excessivos
  • Tratamento é irregular
  • Finalidade foi encerrada

3.4 Portabilidade

Transferência para outro fornecedor, observados:

  • Segredos comerciais
  • Regulamentação da ANPD

3.5 Revogação do Consentimento

O titular pode retirar consentimento a qualquer momento.

Boas práticas:

  • Processo simples
  • Mesmo nível de facilidade da concessão

3.6 Informação sobre Compartilhamento

Direito de saber:

  • Com quais entidades públicas ou privadas os dados foram compartilhados

3.7 Revisão de Decisões Automatizadas

Aplica-se a decisões tomadas exclusivamente por algoritmos que afetem interesses do titular.

Exemplo:

  • Concessão automática de crédito
  • Sistemas de score

⚠ Ponto crítico para empresas que utilizam IA e modelos preditivos.

4. Agentes de Tratamento de Pequeno Porte (ATPP)

A LGPD prevê regime diferenciado para:

  • Microempresas
  • Empresas de pequeno porte
  • Startups
  • Entidades sem fins lucrativos

Benefícios

  • Dispensa de DPO (mantendo canal de contato)
  • Prazos em dobro para atender titulares
  • Políticas simplificadas de segurança

Exceções

Não se aplica quando:

  • Tratamento de alto risco
  • Tratamento em larga escala
  • Impacto significativo a direitos fundamentais
  • Receita acima do limite legal

5. Responsabilidade e Governança

A responsabilização na LGPD está baseada em:

  • Demonstração de conformidade
  • Registro de operações
  • Avaliação de riscos
  • Medidas técnicas e administrativas

Boas práticas recomendadas:

  • Mapeamento de dados (Data Mapping)
  • RIPD (Relatório de Impacto)
  • Política de retenção
  • Gestão de incidentes
  • Due diligence de fornecedores

LGPD não é apenas documento. É processo contínuo de maturidade organizacional.

Conclusão

A LGPD redefine a forma como organizações tratam dados pessoais no Brasil.

Ela estabelece:

  • Papéis claros
  • Direitos amplos aos titulares
  • Responsabilidades proporcionais ao risco
  • Exigência de governança estruturada

Em um cenário onde dados são ativos estratégicos, proteção de dados deixou de ser diferencial.

É requisito mínimo de confiança, segurança e sustentabilidade digital.

Se você atua com segurança da informação, compliance ou governança, compreender profundamente os agentes de tratamento e os direitos do titular é essencial para construir ambientes digitais resilientes.

Discutir no TwitterVer no GitHub