Obrigações do Controlador - LGPD - TRE-AC
Considera-se controlador, segundo o artigo 5º, inciso VI, da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais".
No âmbito da Justiça Eleitoral Acreana, o papel de controlador é exercido pelo Tribunal Regional Eleitoral do Acre (TRE-AC).
Dado o seu relevante papel, o controlador possui uma série de obrigações, que são relacionadas a seguir:
1ª) na hipótese de necessidade de comunicação ou compartilhamento de dados pessoais com outros controladores, será indispensável que o controlador obtenha consentimento específico do titular dos dados para finalidade própria, salvo no caso de o próprio titular tê-los tornado públicos de forma manifesta ou nas hipóteses legais de dispensa do consentimento, conforme disposto no artigo 7º, §§ 4º e 5º, da LGPD;
2ª) terá o ônus da prova de que o consentimento do titular dos dados pessoais foi obtido de acordo com a Lei Geral de Proteção de Dados Pessoais, conforme decorre do seu artigo 8º, § 2º;
3ª) nos casos em que o consentimento for necessário, se houver mudança da finalidade para o tratamento de dados pessoais não compatíveis com aquele manifestado originalmente, o controlador deverá cientificar previamente o titular dos dados sobre as mudanças de finalidade, ocasião na qual faculta-se ao titular a opção de renovação ou revogação do consentimento (artigo 9º, § 2º, da LGPD);
4ª) o controlador deve tratar somente os dados pessoais estritamente necessários para a finalidade pretendida, na hipótese de o tratamento ocorrer no seu legítimo interesse e, além disso, deve efetivar medidas que garantam a transparência, em decorrência do artigo 10, "caput" e §§ 1º e 2º, da LGPD;
5ª) o controlador deve zelar pela manutenção pública referente à informação acerca do tratamento de dados pessoais de crianças e adolescentes, especificamente sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos titulares, por força do artigo 14, § 2º, da LGPD;
6ª) na hipótese de cumprimento de obrigação legal ou regulatória, cabe ao controlador a conservação dos dados pessoais que não foram eliminados, quando decorrido o período de tratamento, facultando-se o uso exclusivo desses dados, desde que anonimizados, ficando proibido o acesso por terceiros, conforme disposição expressa no artigo 16, inciso IV, da LGPD;
7ª) providenciar a confirmação de existência ou o acesso a dados pessoais, mediante requisição do titular, em formato simplificado, imediatamente, ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo específico referente ao Poder Público, conforme disposições da LGPD (art. 19, "caput" e incisos, combinado com o art. 23, § 3º);
8ª) no caso específico de decisões automatizadas, o controlador deverá fornecer, sempre que solicitadas, as informações claras e adequadas a respeito dos critérios e procedimentos em que foram embasadas, devendo ser respeitados os segredos comercial e industrial, em decorrência do disposto na lei (art. 20, § 1º);
9ª) na hipótese de transferência internacional de dados pessoais, o controlador deve oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados assegurados pela Lei Geral de Proteção de Dados Pessoais (art. 33, II);
10ª) o controlador possui o encargo de manutenção do registro das operações de tratamento de dados pessoais por ele realizadas, ficando sujeito à determinação da Agência Nacional de Proteção de Dados no sentido de que seja elaborado relatório de impacto à proteção de dados (pessoais ou sensíveis) referente às suas operações, conforme prescrevem os artigos 37 e 38 da LGPD;
11ª) o controlador deverá fornecer instruções para o operador realizar o tratamento de dados pessoais, conforme disposto no artigo 39 da LGPD;
12ª) o controlador deverá providenciar a indicação do encarregado pelo tratamento dos dados pessoais, bem como deverá divulgar publicamente, de forma clara e objetiva, de preferência no seu sítio eletrônico, a identidade do encarregado e as informações de contato, de acordo com a LGPD (arts. 23, III e 41);
13ª) caso haja violação ou descumprimento à legislação de proteção de dados, em razão do exercício de atividade de tratamento de dados pessoais, o controlador deverá providenciar a reparação devida na hipótese de ocorrência de dano a outrem de natureza patrimonial, moral, individual ou coletiva, em razão do disposto no artigo 42 da LGPD;
14ª) o controlador possui o dever de implementar medidas de segurança, técnicas e administrativas que sejam capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme disposição do artigo 46 da LGPD;
15ª) se ocorrer incidente de segurança que tenha potencial de risco ou dano relevante aos titulares de dados, o controlador deve comunicar tal fato à Autoridade Nacional de Proteção de Dados e ao titular, por força do artigo 48 da LGPD.