O Operador é a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais seguindo as diretrizes estabelecidas pelo Controlador.
Operadores internos
Chefes das unidades de tecnologia da informação e comunicação ou unidades equivalentes responsáveis por bancos de dados, tecnologia da informação e sistemas de cada unidade gestora.
Operadores externos
Pessoas físicas ou jurídicas prestadores de serviço de banco de dados, tecnologia da informação e sistemas que atuam fora
da estrutura organizacional da unidade gestora.
Sub-operador
É qualquer pessoa física que, no âmbito da unidade gestora, operacionaliza o tratamento de dados conforme disciplinado pelo Operador, nos limites de sua competência.
Realizar o tratamento de dados pessoais segundo as instruções fornecidas pelo Controlador;
Manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação de dados
pessoais;
Manter registros das operações de tratamentos de dados pessoais que realizar;
Observar as boas práticas e padrões de governança previstos na Lei nº 13.709, de 2018
Comunicar ao Encarregado Setorial a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos da Lei nº 13.709, de 2018;
Quando autorizado pelo Controlador e no pleno exercício de sua capacidade técnica, decidir sobre:
a) sistema, método ou ferramentas utilizadas para coletar os dados pessoais;
b) meios utilizados para transferir os dados pessoais de uma organização para outra;
c) métodos utilizados para recuperar dados pessoais de determinados indivíduos;
d) maneira de garantir que o método por trás do cronograma de retenção seja respeitado;
e) meio de garantir a segurança dos dados;
f) método de armazenamento de dados pessoais;
g) diretrizes de tratamento de dados realizado pelo sub-operador.