Escolar Documentos
Profissional Documentos
Cultura Documentos
Steve Jobs
ÍNDICE
INTRODUÇÃO ...................................... 6
O CONCEITO DE CONTROLADOR
E OS PAPÉIS DOS AGENTES DE
TRATAMENTO ..................................... 14
AS CONDIÇÕES DE
PROTEÇÃO DE DADOS ...................... 36
A DEMANDA CONTRATUAL
ENVOLVENDO PROTEÇÃO
DE DADOS ........................................... 53
FONTES DE ESTUDO
E CONSULTA ....................................... 55
6
INTRODUÇÃO
[2] Para maiores informações sobre contratos incompletos e a noção de alocação dos
custos de transação no presente ou no futuro: CHOI, Albert e TRIANTIS, George. Strategic
Vaguenessin Contract Design: The Case of Corporate Acquisitions. The Yale Law Journal.
2010. Disponível em https://www.yalelawjournal.org/article/strategic-vagueness-in-
contract-design-thecase-of-corporate-acquisitions; e SCOTT, Robert E. e TRIANTIS,
George. Incomplete Contracts and The Theory of Contract.
13
TRATAMENTO
[4] E esse é o motivo pelo qual se opta pela referência europeia em determinados aspectos
envolvendo a presente análise, a fim de trazer ao menos um direcionamento para a
abordagem pretendida.
17
[5] Coord. USTARAN, Eduardo. European Data Protection: Law and Practice. International
Association of Privacy Professionals(IAPP). 2018: “Because parties can be a controllerin a
transaction and a processorin another, determining which party is a controller is crucial to
assigning primary data protection responsibility and liability.”;ivacy Professionals(IAPP).
2018.
[6] Nesse sentido: “In other words, the data controller is the key decision maker with regards
to personal data. As a result, most of the responsibilities for compliance with Regulation fall
on the data controller’s shoulder.” Coord. USTARAN, Eduardo. European Data Protection:
Law and Practice. International Association of Privacy Professionals(IAPP). 2018.
18
[7] Quando observados os incisos do art. 7º da LGPD, nota-se que alguns, inclusive, fazem
referência ou ligação ao Controlador, no sentido de que a determinação da base legal que
fundamentará a atividade de tratamento cabe ao Controlador. Por exemplo, a obrigação
legal ou regulatória do inciso II, deve ser do Controlador, o interesse legítimo do IX, deve ser
do Controlador – ou de terceiros, terceiros estes cuja definição é incerta na legislação
brasileira, ao contrário do Regulamento europeu, que se preocupou em restringir
minimamente o conceito de terceiros.
[8] Ademais, ponto relevante é o fato de que, no §1º do art. 18, menciona que a petição do
titular referente aos seus direitos poderá ser realizada perante a Autoridade Nacional,
entretanto, determina expressamente que seja realizada em face do Controlador.
[9] LGPD, art. 5º, XVII.
[10] LGPD, art. 48.
19
[13] Aqui é importante destacar um fator relevante oriundo desse tipo de disposição legal.
Esse fator está relacionado aos contratos que surgirão entre Controladores e Operadores.
Poderá parecer mera liberalidade do Controlador a exigência de cláusulas contratuais que o
confiram poderes para auditar o Operador, entretanto, em análise do texto da lei, percebe-
se que o Controlador, na verdade, possui uma obrigação de auditar o Operador. É o que se
extrai da última parte do art. 39 da LGPD, onde há a determinação de que o Controlador
“verificará a observância das próprias instruções e das normas sobre a matéria”. Nota-se
que não se trata de uma opção do Controlador, mas sim uma obrigatoriedade, uma
incumbência, daí, decorre a necessidade de previsão contratual nesse sentido.
[14] “However, the distinction between a data controller and data processor can have
significant realworld consequences. For example, if there is a data breach it is essential fir
bith the organisations involved and the ICO to be able to determine where responsibilities
lies.". ”Information Commisioner’s Office (ICO). Data ontrollers and data processors: what
the diference is and what the governance implications are. 2014. Disponível em:
https://ico.org.uk/media/fororganisations/documents/1546/data-controllers-and-data-
processors-dp-guidance.pdf
21
[15] Opinon 01/2010 (WP 169, 16 de fevereiro de 2010) 00264/10/EN. 2010. p.4. Tradução
livre. Texto original: This means that the first and foremost role of the concept of controller
is to determine who shall be responsible for compliance with the data protection rules, and
how data subjects can exercise the rights in practice. In other words: to allocate
responsibility.
[16] Coord. USTARAN, Eduardo. European Data Protection: Law and Practice. International
Association of Privacy Professionals (IAPP). 2018: “The concepts of controller and processor
were established by the Directive and remain fundamentally similar under the Regulation.
This does not mean they are straightfoward or mutually exclusive. In practice, the
application of these concepts has become increasingly complex owing to the evolving nature
of the business environment, the increased sophistication of outsourcing, and the growing
tendency of organisations to centralise IT systems.".
22
[17] Article 29 Working Party, Opinon 01/2010 (WP 169, 16 de fevereiro de 2010)
00264/10/EN. 2010. p. 1. Tradução livre. Texto original: “The Working Party recognizes the
difficulties in applying the definitions of the Directive in a complex environment, where many
scenarios can be foreseen involving controllers and processors, alone or jointly, with
different degrees of autonomy and responsibility”.
[18] Opinon 01/2010 (WP 169, 16 de fevereiro de 2010) 00264/10/EN. 2010. P. 12.
23
[19] Tradução livre. Texto original: “‘controller’ means the natural or legal person, public
authority, agency or other body which, alone or jointly with others, determines the purposes
and means of the processing of personal data”. Disponível em: https://gdpr-info.eu/art-4-
gdpr/
[20] O Working Party, por exemplo, na Opinion 01/2010, analisa, ainda, o aspecto conjunto
ou apartado de eventuais Controladores, bem como a natureza jurídica do agente de
tratamento, uma vez que é possível se tratar de uma pessoa natural ou jurídica, de direito
privado ou público. Há, ainda, a análise quanto à influência exercida pelo agente sobre o
tratamento, bem como o eventual benefício que o agente tem com a realização daquele
tratamento.
24
[21] Article 29 Working Party, Opinon 01/2010 (WP 169, 16 de fevereiro de 2010)
00264/10/EN. 2010. p. 8.
[22] Ibid. p. 13. Tradução livre. Texto original: “It can also be said that determining the
purposes and the means amounts to determining respectively the “why” and the “how” of
certain processing activities”.
[23] Ibid. p.13. Tradução livre. Texto original: “When it comes to assessing the determination
of the purposes and the means with a view to atribute the role of data controller, the crucial
question is therefore to which level of details somebody should determine purposes and
means in order to be considered as a controller”.
25
[24] Tradução livre. Texto original: “Therefore, the crucial question is to what level of detail
a party should determine the purposes and means in order to be considered as a data
controller”. European Data Protection Supervisor. Guidelines on the concepts processor and
joint controllership under Regulation (EU) 2018/1725. 2019. p. 9. Disponível em:
https://edps.europa.eu/sites/edp/files/publication/19-
1107_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf
26
[25] Tradução livre. Texto original: “To determine whether you are a data controller you
need to ascertain which organisation decides: - to collect the personal data in the first place
and the legal basis for doing so; - which items of personal data to collect, ie the content of
the data; - the purpose or purposes the data are to be used for; - which individuals to collect
data about; - whether to disclose the data, and if so, ho to; - whether subject to access and
other individuals’ rights apply ie the application of exemptions; and - how long to retain the
data or whether to make non-routine amendments to data”. Information Commisioner’s
Office (ICO). Data controllers and data processors: what the diference is and what the
governance implications are. 2014. p. 6-7. Disponível em:
https://ico.org.uk/media/fororganisations/documents/1546/data-controllers-and-data-
processors-dp-guidance.pdf
[26] É o que reconhece a própria autoridade, quando atesta, referente à definição dos
papéis de Controlador e Operador: “This can be difficult, and there is evidence of confusion
on the part of some organisations as to their respective roles and therefore their data
protection responsibilities.” [27] European Data Protection Supervisor. Guidelines on the
concepts processor and joint controllership under Regulation (EU) 2018/1725. 2019.
27
28
[28] Tradução livre. Texto original: “What is even more important to consideristhat you could
be liable as a controller even if you think you are a processor”. OQVIST, Karen Lawrence; e
JOHNSSÉN, Filip. Handson Guide to GDPR Compliance: Privacy by Design, Ptivacy by
Default. International Association of Privacy Professionals(IAPP). 2018.
29
[29] Tradução livre. Texto original: “Parties do not necessarily get to choose who is data
controller or data processor simply by assigning these labels to parties in a contract.
Instead, the GDPR sets out criteria for determining who is data controller or data processor
depending on the nature of each party’s role in decisions about the use of the personal data
in question. Thus, it is important to identify what role each party will play with respect to
decisions made for each set of personal data processes”. Coord. WEISS. Justin B. Data
Processing Agreements: Coordination, Drafting & Negotiation. International Association of
Privacy Professionals(IAPP). 2018
30
[30] Tradução livre. Texto original: “In practice, it is possible that the processor could go
beyond its role i.e. by acting outside of the agreement or making decisions about the
purpose and the essential elements of the means of a specific processing operation.
Whethersuch situation meansthat a processorshould automatically be classified as
controller (with all of the responsibilities it entails) would depend inter alia on the scope of
the deviation, for example when such behaviour serves to ensure compliance with data
protection principles”. European Data Protection Supervisor. Guidelines on the concepts
processor and joint controllership under Regulation (EU) 2018/1725. 2019. P. 17.
31
[32] Tradução livre. Texto original: “First of all, the mere fact that different subjects
cooperate in processing personal data, for example in a chain, does not entail that they are
joint controllersin all cases, since an exchange of data between two parties without sharing
purposes or means in a common set of operations should be considered only as a transfer of
data between separate controllers”. Article 29 Working Party, Opinon 01/2010 (WP 169, 16
de fevereiro de 2010) 00264/10/EN. 2010. p. 19
33
[34] MAXIMILIANO, Carlos. Hermenêutica e Aplicação do Direito. 21ª ed. São Paulo. Editora
Forense. 2017. p. 107.
36
AS CONDIÇÕES DE
PROTEÇÃO DE
DADOS
Chega-se, pois, ao tópico verdadeiramente central deste
texto – talvez o que mais interesse a todos –, por meio do
qual se pretende trazer um panorama geral do que pode
ser inserido em contratos ou elaborado por meio de
instrumento próprio, envolvendo proteção de dados, em
especial, relacionado à LGPD.
[39] Art. 32,1(a), GPDR: the controller and the processor shall implement appropriate
technical and organisational measures to ensure a level of security appropriate to the risk.
Disponível em: https://gdprinfo.eu/art-32-gdpr/
49
[40] OQVIST, Karen Lawence e JOHNSSÉN, Filip. Hands-on Guide to GDPR Compliance.
IAPP. 2018. p. 89
51
DE DADOS
CONSULTA
http://curia.europa.eu/juris/document/document.jsf?
text=&docid=152065&pageIndex=0&doclang=EN&mode=lst&dir=&occ=fi
rst&part=1&cid=5839000
http://curia.europa.eu/juris/document/document.jsf?
text=&docid=202543&pageIndex=0&doclang=EN&mode=req&dir=&occ=
first&part=1&cid=336916
http://curia.europa.eu/juris/document/document.jsf?
text=&docid=203822&pageIndex=0&doclang=EN&mode=lst&dir=&occ=fi
rst&part=1&cid=5839392
http://curia.europa.eu/juris/document/document.jsf?
text=&docid=216555&pageIndex=0&doclang=EN&mode=lst&dir=&occ=fi
rst&part=1&cid=5839567
58