Para cumprir o seu principal objetivo, a norma impõe limites, obrigações e sanções a todos aqueles, pessoas físicas e jurídicas, de direito privado ou público, que, seja em meio digital ou não, tratam dados pessoais (artigo 3º).
Na prática, as obrigações e a responsabilidade por eventuais danos ao titular dos dados recaem sobre os agentes de tratamento, isto é, o controlador e o operador (artigo 5º, inciso IX).
O controlador corresponde ao responsável por tomar todas as decisões pertinentes ao tratamento de dados (artigo 5º, inciso VI) e o operador, por sua vez, é aquele que, subordinado ao controlador, realiza o tratamento dos dados (artigo 5º, inciso VII).
No caso do operador, ele pode tanto ser um colaborador da própria empresa quanto um fornecedor, isto é, um terceiro contratado para tratar os dados em nome do controlador, exemplos bastante comuns da segunda possibilidade são a contratação de licenças de uso de softwares e dos serviços de armazenagem na nuvem.
É evidente que, embora constitua um agente externo, o terceiro contratado continua sendo um operador de dados como qualquer outro e, portanto, permanece sujeito às decisões do controlador, bem como às obrigações dispostas na LGPD (artigo 39).
Ainda, cumpre registrar que compete ao operador verificar a observância das normas dispostas sobre Proteção de Dados Pessoais e comunicar o controlador quando eventual determinação as contrariar (artigo 39).
Ocorre que, justamente por estar sujeito às orientações do controlador, ainda que apenas o operador provoque um dano em decorrência da violação à LGPD, o controlador pode responder solidariamente, caso o primeiro consiga demonstrar que agiu de acordo com as ordens do segundo (artigo 42, § 1º, incisos I e II).
Nesse sentido, para que seja viável cumprir efetivamente as diretrizes da LGPD e, assim, minimizar riscos com incidentes que possam gerar o dever de indenizar, o controlador deverá garantir a segurança no tratamento dos dados que porventura sejam operados por terceiros — fornecedores ou parceiros externos.
Portanto, mostra-se fundamental estar atento ao contrato firmado com o agente externo, bem como a sua atuação enquanto operador de dados, sobretudo quando a relação se constituiu de maneira verbal ou por meio de contrato de adesão.
De forma bastante sucinta, como espécie de “medida de prevenção inicial”, o controlador precisa considerar quatro pontos ao estabelecer uma relação com um terceiro.
Primeiro, verificar se o operador cumpre efetivamente as disposições da LGPD, inclusive, se já possui uma Política de Privacidade e Proteção de Dados, assim como se ele observa as regras dispostas na política do próprio controlador.
Segundo, observar se o terceiro implementou medidas e mecanismos de mitigação de riscos, o que é importante não somente para o controlador, tendo em vista que, enquanto, agente de tratamento, sendo contratado pelo controlador ou não, ele deverá desenvolver meios para proteger os titulares dos dados pessoais.
Terceiro, assegurar que o operador informe imediatamente o controlador quando houver qualquer incidente de segurança. Esse ponto é de extrema importância, pois cabe ao controlador comunicar à autoridade nacional e ao titular sobre incidentes que possam provocar risco ou dano relevante (artigo 48).
Naturalmente, a imediata comunicação ao controlador também se mostra vital no controle das possíveis consequências, tendo em vista que, somente após ter ciência do problema, é que o controlador poderá colocar em prática o seu plano de resposta ao incidente.
Quarto, certificar que o operador externo possui plena ciência da sua responsabilidade solidária em caso de dano, decorrente de violação à LGPD, ao titular dos dados (artigo 42).
Tomando estes cuidados preliminares, o controlador não estará blindado de todo e qualquer problema futuro, mas, certamente, permanecerá mais próximo de um tratamento de dados em conformidade com as disposições da LGPD, minimizando, assim, incidentes que possam ocasionar danos aos titulares de dados.