LGPD no cooperativismo
LGPD no cooperativismo
Quem são os agentes de tratamento?
Os agentes de tratamento são justamente os responsáveis pela realização do tratamento de dados pessoais – ou seja, pelas atividades que envolvem a utilização de dados pessoais. Os agentes de tratamento podem ser divididos em duas categorias principais: controlador e operador.
Controlador
O controlador é o responsável pela tomada de decisões relacionadas ao tratamento de dados pessoais. Podemos concluir que é a cooperativa que define o que será ou não realizado com um dado pessoal (exemplo: se o dado pessoal será inserido ou não em sistemas, se será utilizado ou não para fins de marketing e publicidade, por quanto tempo será retido, com quem será compartilhado, dentre outros).
Nas rotinas diárias de tratamento de dados pessoais, as cooperativas podem exercer este papel nas atividades originadas do relacionamento com seus respectivos associados e colaboradores, por exemplo. As cooperativas também podem manter iniciativas em comum com outras organizações, oportunidade em que estará caracterizada a controladoria conjunta – isto é, mais de uma organização tomando decisões sobre as ações que serão realizadas com os dados pessoais.
Operador
Os operadores são cooperativas que não decidem o que será realizado com os dados pessoais, mas realizam atividades com dados pessoais em nome e sob determinação dos controladores. Vale destacar que os prestadores de serviço se enquadram neste papel.
Quando a cooperativa contrata um prestador de serviços - e, para que os serviços sejam prestados, permite que sejam acessados dados pessoais de associados ou colaboradores, ou compartilha tais dados pessoais -, este prestador de serviços é um operador. Um exemplo são contadores, escritórios de advocacia, empresas que fazem gestão de benefícios de colaboradores ou associados, consultorias, sistemas/softwares, transportadores, dentre outros, contratados pela coop e que figuram como operadores, de acordo com a LGPD.
Os operadores devem utilizar os dados pessoais apenas para as atividades para as quais foram contratados e seguindo as instruções expressas dos controladores. Eles não podem, por exemplo, utilizar os dados pessoais para objetivos desvinculados da prestação dos serviços ou em proveito próprio.
Exemplo:
Quando a cooperativa contrata um escritório de contabilidade e, consequentemente, compartilha uma série de dados pessoais de colaboradores, terceiros ou mesmo clientes, o escritório de contabilidade não pode utilizar tais dados pessoais para abordar essas pessoas a fim de lhes oferecer serviços. Também não pode compartilhar tais dados pessoais com outras pessoas jurídicas desvinculadas do contrato que a cooperativa mantém com ele.
É importante destacar, no entanto, que as cooperativas podem ser classificadas como operadores em atividades realizadas sob determinação de outras organizações e em relação as quais não possuem autonomia de definição. Os colaboradores da cooperativa jamais serão considerados operadores, apenas organizações externas que podem estar nesta condição.
Em todas as atividades de tratamento de dados pessoais realizadas pelas cooperativas, há a necessidade de clareza sobre o papel que ocupam – de controlador ou operador. Tal definição é indispensável para identificação das medidas necessárias à conformidade. Exemplo: se a cooperativa for controladora, é ela quem deve definir qual a base legal utilizada para que a atividade seja justificada.
O que é o Encarregado pelo tratamento de dados pessoais ou DPO?
O Encarregado pelo Tratamento de Dados Pessoais, também conhecido como DPO (Data Protection Officer), é o responsável por avaliar as solicitações das pessoas físicas que tenham relação com seus dados pessoais, bem como o responsável por comunicar-se com a Autoridade Nacional de Proteção de Dados (ANPD). É, ainda, o responsável pela manutenção de um programa de conformidade em proteção de dados pessoais – ou seja, quem deve coordenar uma série de ações para estimular que os dados pessoais sejam utilizados de acordo com a Lei no ambiente da cooperativa e junto dos prestadores de serviço e parceiros.
O Encarregado pode ser um colaborador da cooperativa, formalmente nomeado para tal função, ou um prestador de serviços, contratado especificamente para tal função.
O Encarregado deve contar com o apoio da alta gestão e ser envolvido em todas as decisões relacionadas às atividades de tratamento de dados pessoais.