"Controlador" é a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais". Conforme art. 18, inciso I, da Resolução TRE/SE n.º 24/2022, para os fins de compreensão das normas de proteção de dados pessoais no âmbito deste Tribunal, em complemento às definições constantes da LGPD, considera-se "Controlador" o TRE-SE, através de seu legítimo representante.

Ainda sobre a figura do Controlador, a Resolução TRE/SE n.º 24/2022, esclarece:

Art. 18 (...)

§ 1º O TRE-SE atuará como Controlador conjunto quando, por força de lei, convênio ou contrato, determinar as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.

§ 2º O TRE-SE, quando realiza o tratamento de dado pessoal em nome do Tribunal Controlador, atua na função de operador.

§ 3º Não se consideram controladores conjuntos, mas apenas controladores, aqueles que, apesar de decidirem a respeito do mesmo conjunto de dados pessoais, o fazem para finalidades diversas.

(...)

§ 5º O Juízo Eleitoral, embora tenha atribuições e competência para decidir a respeito do tratamento de dados pessoais, nas hipóteses assim definidas em Leis e Resoluções, não se equipara à figura do Controlador.

De acordo com a LGPD, são obrigações do Controlador:

1. Obter consentimento específico de pessoa titular quando necessitar comunicar ou compartilhar dados pessoais com outros controladores, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei (Art. 7º, §5º).

2. Provar que o consentimento foi obtido em conformidade com a Lei (Art. 8º, §2º).

3. Nas hipóteses em que o consentimento for requerido, se houver mudança da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade (Art. 9º, §2º).

4. Tratar somente dados pessoais estritamente necessários para a finalidade pretendida - quando o tratamento for baseado no legítimo interesse do controlador - e adotar medidas para garantir a transparência do tratamento baseado no legítimo interesse (Art.10, caput, §1º e 2º).

5. Manter pública a informação sobre tratamento de dados pessoais de crianças e adolescentes, tais como os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos de titulares (Art.14, §2º).

6. Conservar dados pessoais não eliminados, quando encerrado o período de tratamento, para cumprimento de obrigação legal ou regulatória. Também poderá fazer uso exclusivo desses dados, desde que anonimizados, sendo seu acesso por terceiros expressamente vedado na Lei (Art. 16, IV).

7. Fornecer, sempre que solicitadas, as informações claras e adequadas a respeito dos critérios e procedimentos para a decisão automatizada, observados os segredos comercial e industrial (Art. 20 §1º).

8. Oferecer e comprovar garantias de cumprimento dos princípios, dos direitos de titular e do regime de proteção de dados na forma da LGPD, nos casos de transferência internacional de dados pessoais (Art. 33).

9. Manter registro das operações de tratamento de dados pessoais que realize e elaborar, por determinação da autoridade nacional, relatório de impacto à proteção de dados (pessoais ou sensíveis) referente às suas operações (Art. 37 e 38).

10. Fornecer instruções para a realização do tratamento de dados pessoais (Art. 39).

11. Indicar encarregada ou encarregado pelo tratamento dos dados pessoais, divulgando publicamente, de forma clara e objetiva, preferencialmente no seu sítio eletrônico, a respectiva identidade e suas informações de contato. (Art. 23 e Art. 41).

12. Reparar dano patrimonial, moral, individual ou coletivo, decorrente de violação à legislação de proteção de dados pessoais causada no exercício de atividade de tratamento de dados pessoais (Art. 42).

13. Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou lícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46)

14. Comunicar à autoridade nacional e à(ao) titular de dados pessoais a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. (Art. 48)