Responsabilidades

Olá, Alex. Como vai?

Essa é uma observação muito pertinente e demonstra um olhar atento à aplicação prática da LGPD. É comum que documentos de conformidade foquem nos papéis principais, mas a omissão de outros agentes pode gerar dúvidas sobre a transparência do tratamento.

Para analisar o cenário que você descreveu, precisamos identificar as funções de cada agente de acordo com a legislação:

Classificação do Terceiro Responsável

Nesse cenário, a empresa externa contratada para gerenciar as câmeras e o armazenamento das imagens é classificada como Operador.

• Controlador (Escola): É quem detém o poder de decisão sobre os dados, definindo a finalidade (segurança, fins pedagógicos) e as bases legais para o tratamento.
• Operador (Empresa de Monitoramento): É quem realiza o tratamento de dados (coleta, armazenamento, processamento) em nome do controlador e seguindo as suas instruções.

O termo está correto sem a discriminação do Operador?

Embora o termo de consentimento costume focar na figura do Controlador (com quem o titular mantém o vínculo direto), a LGPD exige transparência sobre o compartilhamento de dados.

• Transparência: O titular tem o direito de saber com quais entidades públicas ou privadas o controlador realiza o uso compartilhado de dados. Essa informação geralmente deve constar na Política de Privacidade da escola, mesmo que não esteja detalhada em cada termo de consentimento individual.
• Responsabilidade: A lei estabelece que o controlador e o operador respondem solidariamente por danos causados pelo tratamento, caso o operador descumpra a lei ou as instruções do controlador. Portanto, é do interesse da escola formalizar essa relação através de contratos rígidos de tratamento de dados.

Observação sobre Segurança e Consentimento

Você tocou em um ponto fundamental: imagens de segurança geralmente são tratadas sob a base legal do Legítimo Interesse ou para a Proteção da Vida e Segurança Física, o que dispensa o consentimento. Contudo, se as imagens de voz e vídeo mencionadas no termo forem para fins de marketing ou uso em redes sociais, o consentimento é obrigatório e a finalidade deve ser específica.

Resumo da sua dúvida:

1. O terceiro é um Operador.
2. A escola deve, no mínimo, informar a existência de compartilhamento com terceiros em seus documentos de privacidade para garantir a transparência total exigida pela lei.
3. O Encarregado (DPO), mesmo sendo a proprietária no caso citado, é o canal de comunicação entre a escola, os pais e a ANPD (Autoridade Nacional de Proteção de Dados).

Espero que possa ter lhe ajudado!

Eu suponho que, diante do observado na escola, bem como da leitura do documento temo de consentimento, não existir uma pessoa jurídica responsável pela coleta, armazenamento, processamento e descarte dos dados de imagens e voz dos alunos. Essa função deve ser realizada meramente por pessoas físicas(funcionários da escola) ou a própria diretora. Sendo assim, isso estaria correto para a responsabilidade operador? Ou seja, uma pessoa física, poderia exercer esse papel e ainda assim constar em algum dos documentos como termo de consentimento, termo de uso, politica de privacidade e etc?

Olá, Alex. Como vai?

Você tocou no coração de uma das dúvidas mais clássicas e interpretativas da LGPD! Essa sua suposição é excelente porque nos obriga a olhar para o texto da lei e entender a diferença entre quem faz o trabalho técnico e quem é o agente jurídico responsável.

Respondendo diretamente à sua dúvida: Não, os funcionários internos da escola (ou a própria diretora) não podem ser classificados como "Operadores" na documentação. E, consequentemente, eles não precisam (e nem devem) ter seus nomes discriminados no Termo de Consentimento ou na Política de Privacidade como agentes de tratamento.

Vamos entender o porquê dessa regra e como a LGPD enxerga essa estrutura de responsabilidades:

1. O Conceito de Agente de Tratamento (Controlador e Operador)

O Artigo 5º da LGPD (incisos IX e X) define que tanto o Controlador quanto o Operador são uma "pessoa natural ou jurídica, de direito público ou privado".

No entanto, a ANPD (Autoridade Nacional de Proteção de Dados) já emitiu guias oficiais esclarecendo que, quando a lei fala em "pessoa natural", ela está se referindo a profissionais autônomos e independentes (como um médico autônomo, um advogado ou um consultor de TI contratado externamente).

Os funcionários, professores, inspetores ou a diretora da escola não possuem autonomia de decisão sobre aqueles dados. Eles agem como "braços" ou ferramentas do próprio Controlador (a escola).

Regra de Ouro: O funcionário interno é considerado um preposto ou subalterno do Controlador. Legalmente, o ato do funcionário coletar ou armazenar a imagem do aluno no sistema da escola é considerado um ato da própria escola (Controlador).

2. Como isso deve constar nos documentos?

Como os funcionários fazem parte da estrutura interna da instituição, a escola está perfeitamente correta em colocar apenas a figura do Controlador (a própria Escola) e do DPO no termo.

Para garantir a conformidade e a transparência em relação a essa equipe interna, o que a escola precisa ter (e que geralmente não fica exposto no termo dos pais) é:

• Contratos internos com cláusulas de confidencialidade: Todos os funcionários que operam o sistema de câmeras ou editam fotos das redes sociais devem assinar termos internos de responsabilidade sobre o segredo desses dados.
• Política de Segurança da Informação: Um documento interno mapeando quem tem a senha do sistema de câmeras, onde os vídeos ficam armazenados e qual é o processo de descarte (ex: exclusão automática a cada 30 dias).

3. E se a escola contratar um profissional autônomo? (Ex: um fotógrafo para eventos)

Aí o cenário muda! Se a escola contratar um fotógrafo freelancer (pessoa física autônoma) para cobrir uma festa e tratar as fotos dos alunos na casa dele:

• Esse fotógrafo será, sim, um Operador (pessoa natural externa).
• Nos documentos da escola (especialmente na Política de Privacidade geral), deve constar de forma genérica que "os dados podem ser compartilhados com prestadores de serviços de fotografia e mídia para fins de registro institucional", sem necessariamente precisar listar o CPF do profissional em cada termo.

Portanto, se a escola faz tudo "dentro de casa" com sua própria equipe, a centralização da responsabilidade apenas na figura da Escola (Controlador) está juridicamente impecável e cumpre os requisitos da LGPD.

Conseguiu perceber a sutil diferença entre um terceiro externo trabalhando e a própria equipe da empresa executando a tarefa?

Espero que possa ter lhe ajudado!