Um controlador de dados é um indivíduo ou organização que gerencia como os dados são processados e é responsável por cumprir os regulamentos de proteção de dados. O controlador, seja uma pessoa ou uma empresa inteira, é responsável por escrever a política de privacidade de uma organização, que detalha quais dados essa organização coleta, como usa os dados e para onde os envia. Os controladores de dados gerenciam os processadores de dados, ditando como a organização analisa e usa dados pessoais, como informações de contato, endereços e números de identificação.
O termo controlador de dados normalmente faz referência ao Regulamento Geral de Proteção de Dados (GDPR) e seus requisitos para proteção de dados; esta função originou-se das leis europeias de proteção de dados. O GDPR necessitou de controladores de dados ao estabelecer requisitos rigorosos para o uso de dados pessoais em 2018.
Requisitos para controladores de dados no GDPR
O GDPR, que se aplica não apenas a toda a União Europeia, mas também a todos os países que têm empresas ou clientes na Europa, foi projetado especificamente para proteger os indivíduos e suas informações pessoais. Portanto, é extremamente rigoroso com as organizações. As empresas tiveram que se esforçar para cumprir os requisitos, incluindo muitas empresas dos Estados Unidos. Os controladores de dados têm muitas responsabilidades; Este são apenas alguns.
O GDPR exige que as empresas tenham pelo menos um bom motivo para coletar os dados pessoais de alguém. O controlador de dados da empresa deve ser capaz de demonstrar esse bom motivo. Os seis motivos ou "bases legais" para a coleta de dados pessoais são:
- Consentimento, dado à empresa pelo indivíduo
- Contrato que é feito entre uma organização e um indivíduo e requer dados pessoais
- Conformidade com uma obrigação legal (ter que fornecer os dados de alguém ao governo por lei)
- Proteção dos interesses vitais de um indivíduo
- Tarefas públicas que exigem o processamento de dados pessoais (uma organização precisa de um endereço de e-mail para fazer o acompanhamento com um cliente sobre um serviço específico)
- Proteção do interesse legítimo da organização, normalmente para fins legais
Os controladores de dados também devem manter registros detalhados dos dados que coletam, para onde os estão enviando e como os estão usando. Eles são obrigados a ter esses registros disponíveis por escrito. Se estiverem vendendo dados a terceiros, eles devem documentar exatamente quem e para que finalidade. Os indivíduos (ou, como o GDPR os chama, os titulares dos dados) também devem ter acesso a essas informações.
Os controladores de dados também devem disponibilizar suas informações de contato aos titulares dos dados, que podem então contatar o controlador de dados com perguntas sobre seus dados pessoais e como eles são usados.
O GDPR estabelece requisitos para as organizações nomearem um DPO (Data Protection Officer): isso pode ser responsabilidade de um controlador de dados. Uma organização deve nomear um DPO se lida com grandes quantidades de dados confidenciais (como uma grande instalação médica ou instituição financeira) ou coleta grandes quantidades de dados regularmente, incluindo monitoramento ou vigilância frequente.
Requisitos de GDPR para empresas dos EUA
Uma observação importante para empresas nos Estados Unidos: se as empresas dos EUA têm clientes na UE, filiais da UE, funcionários da UE ou mesmo uma presença em países da UE, os regulamentos GDPR também se aplicam a eles. O CCPA da Califórnia tem requisitos semelhantes. Isso significa que os requisitos acima para controladores de dados e possivelmente oficiais de proteção de dados se aplicam a empresas dos EUA, bem como a qualquer empresa que tenha clientes na UE. Mesmo uma empresa nos Estados Unidos que tem uma grande presença online ou campanha de marketing por e-mail, como uma loja de departamentos, provavelmente está sujeita ao GDPR porque é provável que tenha clientes da UE online.