OBRIGAÇÕES DOS CONTROLADORES
Última atualização: 25/03/2021
Gerenciar o consentimento do Titular para tratar seus dados pessoais
Observar as recomendações caso tenha o legítimo interesse como base para tratar dados pessoais
Caso realize tratamento de dados pessoais de crianças e adolescentes, deverá
[...] manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 da lei. (Art.14 §2º)
Fazer uso adequado dos dados pessoais sob sua responsabilidade
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades
[...]
Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (Art. 16, caput, IV)
Prover informações sobre tratamento de dados pessoais do Titular pelo controlador
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular (Art. 19)
Fornecer informações sobre decisões automatizadas quando utilizadas
O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20 §1º)
Oferecer garantias para o tratamento internacional dos dados, quando este ocorrer
(Art. 23)
Manter registro das operações de tratamento de dados pessoais, inclusive dados sensíveis
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse
A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (Art. 37 e 38)
Fornecer ao operador orientações sobre o tratamento de dados pessoais
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. (Art. 39)
Nomear o encarregado de dados pessoais e cuidar para que esta informação tenha ampla divulgação pública
O controlador deverá indicar encarregado pelo tratamento de dados pessoais. (Art. 41)
Reparar dano causado pelo controlador ou operador trabalhando em nome deste
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (Art. 41)
Implementar medidas de segurança, técnicas e administrativas afim de proteger os dados pessoais sob sua responsabilidade
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46)
Comunicar à ANPD ocorrência de incidentes de segurança
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)
Implementar regras de governança e boas práticas
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (Art. 50)
OBRIGAÇÕES DOS CONTROLADORES
Gerenciar o consentimento do Titular para tratar seus dados pessoais
Observar as recomendações caso tenha o legítimo interesse como base para tratar dados pessoais
Caso realize tratamento de dados pessoais de crianças e adolescentes, deverá
[...] manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 da lei. (Art.14 §2º)
Fazer uso adequado dos dados pessoais sob sua responsabilidade
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades
[...]
Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (Art. 16, caput, IV)
Prover informações sobre tratamento de dados pessoais do Titular pelo controlador
A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular (Art. 19)
Fornecer informações sobre decisões automatizadas quando utilizadas
O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20 §1º)
Oferecer garantias para o tratamento internacional dos dados, quando este ocorrer
(Art. 23)
Manter registro das operações de tratamento de dados pessoais, inclusive dados sensíveis
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse
A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (Art. 37 e 38)
Fornecer ao operador orientações sobre o tratamento de dados pessoais
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. (Art. 39)
Nomear o encarregado de dados pessoais e cuidar para que esta informação tenha ampla divulgação pública
O controlador deverá indicar encarregado pelo tratamento de dados pessoais. (Art. 41)
Reparar dano causado pelo controlador ou operador trabalhando em nome deste
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (Art. 41)
Implementar medidas de segurança, técnicas e administrativas afim de proteger os dados pessoais sob sua responsabilidade
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46)
Comunicar à ANPD ocorrência de incidentes de segurança
O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)
Implementar regras de governança e boas práticas
Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (Art. 50)
