Quem está por trás do tratamento de dados pessoais?

Breves considerações sobre o Controlador, o Operador e o Encarregado de Dados.

por Giovanna Milanez Tavares

Como apontado rapidamente no último artigo da página, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 ou “LGPD”) conceitua, em seu art. 5º, quem são as figuras envolvidas direta ou indiretamente no tratamento de dados pessoais, quais sejam o controlador, o operador e o encarregado de dados.

1) Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, inc. VI). Normalmente, é a empresa que coleta os dados (de clientes, fornecedores e funcionários pelo menos) e define como eles serão tratados, incluindo seu armazenamento, sua eliminação, entre outros;

2) Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, inc. VII), ou seja, aquele que efetivamente executa o processamento dos dados pessoais a partir das decisões tomadas pelo controlador; e

3) Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD (art. 5º, inc. VIII).

Importante destacar ainda que a LGPD determina expressamente, em seu art. 5º, inc. IX, que somente o controlador e o operador são agentes de tratamento. Portanto, o encarregado de dados mostra-se tão somente como o canal de comunicação entre controlador, o titular e a ANPD, demonstrando o caráter passivo conferido a ele pela Lei, conforme se verá melhor a seguir.

E quais são as obrigações dos agentes de tratamento e do encarregado de dados expressamente previstas na LGPD?

Inicialmente, é essencial ressaltar que a LGPD dedica o Capítulo VI inteiro para falar sobre os agentes de tratamento de dados pessoais. Contudo, as obrigações de tais agentes não estão somente nesse capítulo, mas também pulverizadas em toda a Lei, tornando essencial uma interpretação sistemática e minuciosa do texto legal.

De início, a LGPD dispõe que ambos os agentes de tratamento devem manter registro das operações de processamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse (art. 37) e que o controlador, especialmente nessa situação, deve garantir a transparência do tratamento dos dados (art. 10, § 2º).

Além disso, dispõe que a ANPD poderá determinar ao controlador que elabore Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que é de sua inteira responsabilidade, referente a suas operações de tratamento de dados, inclusive quanto a dados sensíveis, observados os segredos comercial e industrial (art. 38).

Ele deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações, a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais (art. 5º, inc. XVII), bem como a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados (art. 38, parágrafo único).

Já o operador deverá realizar o tratamento tão somente segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria (art. 39).

A LGPD dispõe ainda que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais (art. 50).

Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular (art. 50, § 1º).

Inclusive, recentemente, no dia 10.04.2020, o Governo Federal, por meio do Comitê Central de Governança de Dados, publicou o Guia de Boas Práticas da Lei Geral de Proteção de Dados, que objetivo fornecer orientações de boas práticas aos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional para as operações de tratamento de dados pessoais, conforme previsto no art. 50 da Lei (citado anteriormente).

Ademais, existem outras obrigações, agora direcionadas especificamente à figura do controlador, que se encontram pulverizadas na LGPD, são elas:

1) Comprovar que o consentimento do titular dos dados foi obtido em conformidade com a Lei, ou seja, é seu o ônus da prova (art. 8º, § 2º);

2) Obter novo consentimento específico do titular caso seja necessário comunicar ou compartilhar seus dados pessoais com outros controladores, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei (art. 7º, § 5º);

3) Informar o titular a respeito de:

(i) Alteração da finalidade específica do tratamento, da forma e duração do tratamento, observados os segredos comercial e industrial, da identificação do controlador ou das informações acerca do uso compartilhado de dados pelo controlador e sua finalidade, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração (art. 8º, § 6º);

(ii) Mudanças da finalidade para o tratamento de dados pessoais não compatível com o consentimento original, na hipótese em que o consentimento é requerido, podendo o titular revogar o consentimento, caso discorde das alterações (ar. 9º, § 2º).

4) Abster-se de comunicar ou usar de forma compartilhada dados pessoais sensíveis com outros controladores com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde (art. 11, § 4º);

5) Manter, no tratamento de dados pessoais de crianças e adolescentes, a informação pública sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 da Lei (art. 14, § 2º);

6) Não condicionar a participação de crianças e adolescentes em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade (art. 14, § 4º);

7) Realizar todos os esforços razoáveis para verificar que o consentimento de pelo menos um dos pais ou pelo responsável legal de crianças foi realmente dado pelo responsável pela criança, consideradas as tecnologias disponíveis (art. 14, § 5º);

8) Resguardar os direitos previstos no art. 18 da LGPD;

9) Fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial (art. 20, § 1º);

10) Implementar um Programa de Governança, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, segundo as diretrizes legais.

Em suma, são essas as disposições da Lei Geral de Proteção de Dados Pessoais a respeito do controlador e do operador de dados. Em relação à responsabilidade de cada um deles, retomaremos o assunto de maneira específica nos próximos artigos da página.

E como podemos, então, visualizar tais agentes em casos concretos?

Situação 1 – Suponha que uma faculdade colete dados pessoais dos professores da instituição e envie para uma gráfica especificamente para a impressão de cartões de visita para eles. A gráfica então, compartilha tais dados pessoais com uma transportadora para enviar os cartões de visita para cada professor em sua residência. Nesse caso, podemos visualizar que a faculdade é o controlador dos dados, a gráfica é o operador e a transportadora é um terceiro contratado.

Nesse caso, é visível que o titular dos dados, os professores da faculdade, não escolhem a gráfica e a seguradora que estarão envolvidas na confecção de seus cartões de visita e, também por isso, não é possível considerar que todos seriam controladores dos dados. A gráfica apenas utiliza os dados pessoais para confecção dos cartões conforme autorizado pela universidade, enquanto a transportadora somente utiliza as informações para entregar os cartões aos professores, conforme determinado pela gráfica.

Além disso, destaco que, nessa situação, é possível visualizar a importância de que a adequação à LGPD ocorra em cadeia, ou seja, ao longo de todo o caminho de compartilhamento dos dados pessoais. Não bastaria, nesse caso, apenas a faculdade estar adequada, sendo necessário que a gráfica e a transportadora também estivessem.

Situação 2 – Suponha que um varejista ofereça, em uma plataforma de e-commerce (como Wix, WooCommerce, Tray, NuvemShop, etc), a possibilidade de compras online de roupas, calçados e acessórios. Para isso, possui integração com grandes players de mercado na categoria de pagamento (a exemplo de Paypal, PagSeguro, Mercado Pago, Wirecard, etc) para que o cliente possa finalizar a compra de forma segura e organizada.

Aqui, a plataforma de e-commerce figura como controlador e a plataforma de pagamento como operador dos dados. Novamente, temos que a escolha do operador não é do titular e, sim, do controlador. Ela apenas coleta os dados pessoais necessários para que o cliente efetue o pagamento da compra (operacionalizando-a) e finalize a aquisição da mercadoria na plataforma de e-commerce.

Situação 3 – Suponha que você visite o site de uma agência de viagens online (a exemplo da Decolar e do Booking) para montar um pacote para sua viagem. Em resumo, você gostaria de escolher 3 produtos: passagem aérea, acomodação e locação de um veículo.

Nesse caso, tanto a agência de viagens online, como a companhia aérea, o hotel e a locadora de veículos são todos controladores. Isso porque, aqui, o próprio titular faz uma escolha informada de quais serão as empresas que fornecerão os produtos do seu pacote de viagem. Ele pode escolher, por exemplo, LATAM, Mercure e Localiza, como também GOL, Ibis e Movida, sendo que a escolha dependerá de sua preferência, seja pelo preço, seja pela qualidade do serviço ou até mesmo outras questões.

De qualquer forma, visualizamos relações independentes que, juntas, compõem uma cadeia de fornecimento em setores diferenciados e, em cada um, a empresa específica do setor processará os dados pessoais de acordo com seu objetivo. Temos, portanto, controladores em parceria, mas cada um está sujeito às obrigações de proteção de dados relacionadas ao seu próprio processamento de dados pessoais.

Contudo, a avaliação poderia mudar caso as empresas decidissem criar uma infraestrutura compartilhada para buscar seus próprios objetivos individuais. Ao criarem tal infraestrutura, todos determinariam elementos e meios essenciais a serem utilizados para o tratamento de dados pessoais, ainda que não compartilhassem necessariamente os mesmos objetivos.

Situação 4 – Por exemplo se a agência de viagens, a companhia aérea, o hotel e a locadora de veículos criassem uma plataforma comum na internet para melhorar sua cooperação no gerenciamento de reservas de viagens online. Eles concordam, então, quanto aos meios a serem utilizados, como os dados serão armazenados, como as reservas serão alocadas e confirmadas e quem pode ter acesso às informações armazenadas. Além disso, decidem compartilhar os dados de seus clientes para realizar ações de marketing integradas.

Nesse caso, todas as empresas citadas terão controle conjunto sobre o processamento dos dados pessoais de seus respectivos clientes e, portanto, não serão controladores individuais atuando em parceria, mas serão controladores conjuntos em relação a tal infraestrutura, apesar de manterem o controle exclusivo em relação a outras atividades de processamento, por exemplo, aquelas relacionadas à gestão de seus recursos humanos.

Esse último cenário é um exemplo do surgimento dos chamados de “co-controllers” ou “joint controllers”, disciplinados no Regulamento Geral de Proteção de Dados Europeu (GDPR). Nesse caso, é como se, ao fim e ao cabo, ambos atuassem como um único controlador.

Podemos inclusive refletir aqui sobre a eventual existência de controladores em parceria ou controladores conjuntos em joint ventures e holdings. Contudo, essa discussão não será abordada no presente artigo.

E o que seriam os “Joint Controllers” ou Controladores Conjuntos do GDPR?

O art. 26 (1) do Regulamento Europeu dispõe que, quando dois ou mais controladores determinarem conjuntamente os propósitos e meios de processamento, eles devem ser considerados como controladores conjuntos.

Para isso, eles determinarão de forma transparente as respectivas responsabilidades pelo cumprimento das obrigações previstas no GDPR, em especial no que diz respeito ao exercício dos direitos do titular dos dados e aos respectivos deveres de fornecimento de informações, por meio de acordo entre eles, a menos que, e na medida em que, as responsabilidades sejam determinadas pela legislação do Estado-Membro a que estejam sujeitos.

A ICO, Autoridade de Proteção de Dados do Reino Unido, traz um exemplo elucidativo para a questão: suponha que uma empresa de carros de luxo une-se a uma marca de moda de grife para sediar um evento promocional. As empresas decidem realizar então um sorteio no evento e convidam os participantes a entrar no sorteio digitando seu nome e endereço no sistema. Após o sorteio e o evento, as empresas distribuem os prêmios aos vencedores e não usam os dados pessoais para outros fins. Nesse caso, teremos “joint controllers”, duas empresas que tomam as decisões acerca do tratamento dos dados pessoais, inclusive sobre sua eliminação e especialmente sobre sua finalidade, determinando conjuntamente os meios (sistema) e os propósitos (sorteio) do processamento.

O European Data Protection Supervisor (EDPS), nas “Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725”, esclarece, inclusive, que um provedor externo de um portal de gerenciamento ou uma autoridade pública nacional podem também figurar como “co-controllers”. O que ele define como importante, na verdade, é que cada controlador tenha o direito de determinar propósitos e elementos essenciais dos meios de uma operação de processamento.

Isso significa que, antes de entrar em um acordo específico com uma ou mais partes, cada controlador está ciente do objetivo geral e dos meios de processamento dos dados. Em outras palavras, tal acordo, em que as partes geralmente determinam a finalidade e os elementos essenciais para realizar o tratamento, é, por si só, suficiente para desencadear uma situação de “joint controllership”.

Para tornar a questão ainda mais complexa, o Grupo de Trabalho do Artigo 29, na “Opinion 1/2010 on the concepts of controller and processor”, traz um exemplo interessante ao esclarecer que, apesar de arranjos contratuais serem extremamente úteis na avaliação do controle conjunto, deve-se sempre verificar as circunstâncias fáticas da relação entre as partes. O exemplo é o seguinte:

A empresa Headhunterz Ltd. ajuda a Enterprize Inc. no recrutamento de novos funcionários. O contrato firmado entre as partes afirma claramente que “a Headhunterz atuará em nome da Enterprize e, no tratamento dos dados pessoais, atuará como um processador de dados. A Enterprize é o único controlador dos dados”.

No entanto, a Headhunterz está, na verdade, em uma posição ambígua: por um lado, desempenha o papel de controlador de dados quanto aos candidatos às vagas de emprego e, por outro lado, assume o papel de processador de dados, agindo em nome dos controladores, como a Enterprize (ou outras empresas que procuram funcionários através dele).

Além disso, a Headhunterz procura candidatos adequados – com seu famoso serviço de valor agregado “match” – entre os currículos recebidos diretamente pelas empresas e aqueles que já possui em seu extenso banco de dados. Isso garante que a Headhunterz, que, de acordo com o contrato firmado com a Enterprize, é paga apenas pelos contratos realmente assinados, melhore a correspondência entre empregadores e candidatos, aumentando assim sua receita.

Pelos elementos acima, pode-se dizer que, apesar da qualificação contratual, a Headhunterz também será considerada como controlador e, no caso, especificamente como “joint controller” com a Enterprize pelo menos em relação ao conjunto de operações de processamento de dados relacionadas ao recrutamento da empresa contratante.

Como diferenciar, então, o controlador do operador de dados pessoais? O “poder de decisão” é realmente o critério mais fidedigno?

Assim como o controle conjunto surge em situações em que as partes determinem os termos das operações de processamento de forma conjunta, seja sobre os meios, os propósitos ou os elementos essenciais, há que se encontrar alguma forma de diferenciar a atuação do operador de um controlador para além da margem decisória que o primeiro possui sobre a atividade terceirizada.

Situação 5 – Suponha que uma loja contratou duas empresas, uma especializada em marketing e outra que presta serviços de armazenamento em nuvem. Nesse caso, a loja figura como controlador dos dados e a empresa de marketing e a de armazenamento em nuvem figuram como operadores.

E o que essa situação tem a nos ensinar? Uma questão que, muitas vezes, se torna dúvida para várias pessoas é o fato de a LGPD dispor somente para o controlador a característica de “decisor”, ou seja, é ele quem unicamente aparenta tomar as decisões sobre o processamento de dados pessoais, enquanto o operador simplesmente as executa.

Contudo, é importante destacar que nem sempre isso é uma verdade absoluta e que a LGPD, na verdade, não estabeleceu que os operadores nunca tomariam decisões acerca do tratamento dos dados. Isso porque, se consideramos a Situação 5, por óbvio, as empresas contratadas precisam ter certa margem decisória a respeito da atividade terceirizada.

Por exemplo, a empresa de marketing decidirá sobre a melhor estratégia de divulgação dos produtos e promoções da loja, até porque é ela quem possui a expertise necessária para processar os dados pessoais e analisá-los a fim de desenvolver a melhor campanha possível, que realmente seja eficaz. Já a empresa de armazenamento em nuvem também decidirá sobre a melhor forma de hospedagem dos servidores, quais medidas técnicas e de segurança devem ser adotadas no armazenamento dos dados, porque, novamente, ela foi contratada justamente pela sua expertise.

Portanto, ainda que os controladores decidam sobre o processamento dos dados e os operadores executem tais decisões, é compreensível que os operadores, no exercício e na execução de tais decisões, também tomem novas decisões que viabilizem a operacionalização do tratamento.

Enfim, após compreender as principais discussões acerca das figuras do controlador e do operador de dados, resta apenas uma figura a ser analisada.

Quem é, então, o encarregado de dados pessoais?

O encarregado de dados, conforme já falado, é o canal de comunicação entre o controlador, o titular e a ANPD, podendo ser pessoa física ou jurídica. É interessante observar que, antes da aprovação da Lei nº 13.853/2019, que trouxe algumas alterações à LGPD, apenas pessoas físicas poderiam ser encarregados. Contudo, atualmente, PJs também podem atuar nesse sentido.

A LGPD define que ele será indicado pelo controlador e operador e sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador (art. 41, § 1º).

Apesar de a ANPD ter a prerrogativa de estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, em resumo, as atividades do encarregado consistem em:

1 – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

2 – Receber comunicações da autoridade nacional e adotar providências;

3 – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

4 – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

É importante observar que a adoção de providência e a prestação de esclarecimentos são atividades que evidenciam o caráter reativo (e não proativo) da figura do encarregado de dados, ou seja, ele normalmente atua a partir de uma determinação do ANPD. Se pensarmos nas atividades de aceite de reclamações e comunicações dos titulares, a lógica é a mesma, o encarregado atua a partir de um requerimento do titular dos dados.

Ele apresenta ainda um vetor de cultura e comunicação, voltado para o treinamento, engajamento e conscientização de todos os colaboradores das organizações quanto às normas e diretrizes de proteção de dados pessoais. Em suma, é uma função de compliance, ou seja, de boas condutas.

E, afinal, quais são as diferenças entre o Encarregado de Dados da LGPD e o Data Protection Officer (DPO) do GDPR?

O art. 39 (1) do GDPR estabelece as seguintes funções ao DPO:

1 – Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do Regulamento Europeu e de outras disposições de proteção de dados dos Estados-Membros;

2 – Controlar a conformidade com o GDPR, com outras disposições de proteção de dados dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;

3 – Prestar aconselhamento, quando tal lhe for solicitado, no que diz respeito à avaliação de impacto sobre a proteção de dados e controlar a sua realização (Data Protection Impact Assessment – DPIA);

4 – Cooperar com a autoridade de controle (Data Protection Authority – DPA); e

5 – Ser um ponto de contato para a autoridade de controle sobre questões relacionadas ao tratamento, incluindo eventual consulta prévia, e consultar, caso seja necessário, esta autoridade sobre qualquer outro assunto.

O grande diferencial do GDPR foi dispor acerca do princípio da accountability e, diante disso, disciplinar uma postura mais proativa do DPO, a partir da função de monitoramento do cumprimento da lei e das políticas internas.

O GDPR traz também uma inovação com o termo “cooperação”, que não se materializa na LGPD. Enquanto no primeiro, o DPO coopera com as autoridades para identificar irregularidades, na segunda, o Encarregado apenas adota providências quanto a possíveis irregularidades a partir de comunicações da ANPD.

Com relação ao Data Protection Impact Assessment (DPIA), o GDPR dispõe que cabe ao DPO apenas aconselhar na elaboração dos relatórios quando requisitado. Já a LGPD não faz qualquer menção quanto a eventual função do encarregado na elaboração do Relatório de Impacto à Proteção de Dados (RIPD). Esse distanciamento foi criado justamente para conferir ao encarregado maior autonomia em relação à execução de suas funções, evitando eventuais conflitos de interesse.

Além disso, ao contrário da LGPD, que não confere qualquer independência de forma expressa ao encarregado de dados, o GDPR confere expressamente, em seu art. 38, independência ao DPO, determinando que ele:

1 – Não receberá ordens de como exercer suas atividades e funções (podendo opinar a respeito dos riscos das operações de tratamento de dados de acordo com seu entendimento);

2 – Não poderá ser destituído nem penalizado pelo fato de exercer suas funções (o que lhe confere segurança para executar suas atividades com imparcialidade);

3 – Informará diretamente a direção do mais alto nível da organização; e

4 – Exercerá funções e atribuições que não resultem em conflitos de interesse (o DPO não deve, por exemplo, determinar como os dados pessoais serão tratados, já que isso dificultaria sua fiscalização posterior quanto à conformidade);

Sobre esse aspecto, recentemente, no dia 23.01.2020, a Autoridade de Proteção de Dados da Grécia proferiu decisão determinando que o DPO não pode representar o controlador ou o processador de dados para o qual atua em procedimentos perante a autoridade de controle quando um problema de proteção de dados estiver sendo investigado, posto que o DPO deve ser imparcial e independente e sua independência pode ser questionada nessa situação, levando, inclusive, a eventuais conflitos de interesses.

Assim, a DPA grega estendeu o entendimento do Grupo de Trabalho do Artigo 29, que já destacava a existência de um conflito de interesses quando um DPO externo é solicitado a representar o controlador ou o processador perante Tribunais de Justiça em relação a questões de proteção de dados, aplicando tal entendimento também para qualquer autoridade de controle (DPA).

Nesse sentido, notório que, apesar de a LGPD ter sido inspirada no GDPR, o Brasil terá muito a aprender ainda com a União Europeia, devendo, por óbvio, sempre se atentar às características peculiares daqui quando for aplicar entendimentos e diretrizes lá consolidadas.

Referências Bibliográficas

ARTICLE 29 DATA PROTECTION WORKING PARTY. Opinion 1/2010 on the concepts of "controller" and "processor". 2010. Disponível em: <https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf>.

ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines on Data Protection Officers ('DPOs'). 2017. Disponível em: <https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048>.

EUROPEAN DATA PROTECTION SUPERVISOR. Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725. 2019. Disponível em: <https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf>.

FABRETTI, Henrique. DPO na LGPD e na GDPR - entenda as principais diferenças. Curso Opice Blum Academy. 2020.

GARRIDO-FONTOVA, Judit. The DPO cannot represent the controller in proceedings before the authority according to the Greek DPA. Kemp Little, 2020. Disponível em: <https://quickreads.kemplittle.com/post/102fxw0/the-dpo-cannot-represent-the-controller-in-proceedings-before-the-authority-accor>.

INFORMATION COMISSIONER’S OFFICE. What does it mean if you are joint controllers? Disponível em: <https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/controllers-and-processors/what-does-it-mean-if-you-are-joint-controllers/>.

TORRE, Lydia F de la. What are ‘joint controllers’ (a.k.a. ‘co-controllers’)? 2018. Disponível em: <https://medium.com/golden-data/what-are-joint-controllers-a9614d4a633d>.

Para deixar comentários, basta se cadastrar no nosso site, no canto superior direito da página, fornecendo tão somente o e-mail.