O encarregado de Dados ou Data Protection Office (“DPO”) é a pessoa responsável por atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). A Lei Geral de Proteção de Dados, trouxe esse sujeito que será a interface da organização no tocante ao tema de
privacidade e proteção de dados.
Entre as responsabilidades do encarregado estão aceitar reclamações e comunicações dos titulares e da ANPD, prestar esclarecimentos e adotar providências, orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
QUEM PODE SE TORNAR DPO?
Para assumir essa posição não existem requisitos na lei tampouco exigência de alguma formação específica. Para se tornar um Encarregado de Dados é preciso:
- Conhecimento da área de privacidade e proteção de dados ao redor do mundo;
- Conhecimento profundo da LGPD;
- Conhecimento da empresa;
- Boa comunicação;
- Boa gestão;
- Interdisciplinaridade.
Ter uma boa comunicação é fundamental, uma vez que essa figura precisa estar em comunicação constante com os outros sujeitos da lei, além de transitar por todas as áreas da Empresa.
ENCARREGADO INTERNO OU EXTERNO?
A LGPD não distingue se o Encarregado de Dados deve ser uma pessoa física ou jurídica, e se deve ser um funcionário da empresa ou um agente externo. Considerando as boas práticas internacionais, o Encarregado poderá ser tanto um funcionário da empresa quanto um agente externo, de natureza física ou jurídica.
Além disso, se toda empresa tivesse obrigação de realizar a contratação de um novo profissional, altamente qualificado para ocupar o cargo de Encarregado a oneração seria muito alta para as empresas. Lembrando que não somente as empresas estão sujeitas a Lei, então essa obrigação abrangeria até mesmo os profissionais autônomos que tratam dados com fins lucrativos, como dentistas, médicos e nutricionistas.
Outro ponto importante sobre o Encarregado de Dados é que ele precisa de autonomia para se comunicar com Diretores, Gestores e CEO, e apontar com liberdade e voz ativa, o que deve ou não ser feito.
ACÚMULO DE FUNÇÕES?
E esse ponto é muito importante, porque existe uma discussão em torno do acúmulo de funções do Encarregado. Na LGPD não há de maneira clara e expressa, a alegação de que não se pode acumular nenhum tipo de função. O que está ocorrendo muito nas empresas é o gestor de segurança da informação ser nomeado Encarregado de Dados.
Por ser o gestor da área da segurança da informação, é ele que determina o tratamento dos dados sobre segurança de informação, então, como a mesma pessoa vai conseguir verificar se a própria ação está em conformidade com a LGPD e analisar se vai mudar ou não o tipo de tratamento que está sendo realizado?
Não existe imparcialidade. Se for a mesma pessoa que trata o dado, ela não consegue ser aquela que consegue enxergar que naquele tratamento existe um equívoco na LGPD.
Por isso é importante a autonomia e independência do Encarregado de Dados.
REGULAMENTAÇÃO ANPD
A Agência Nacional de Proteção de Dados publicou recentemente, a Resolução CD/ANPD Nº 2, de 27 de Janeiro de 2022 que desobriga agentes de tratamento de pequeno porte de indicar o Encarregado de tratamento de dados pessoais exigido no art. 41 da LGPD.
A resolução é direcionada para microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
O agente de pequeno porte que não indicar um Encarregado deve disponibilizar um canal de comunicação com o titular de dados, entretanto, a indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD, que trata dos parâmetros e critérios para aplicação das sanções administrativas.
CULTURA DE DADOS
O Encarregado de Dados é o grande responsável pela implementação e manutenção da nova cultura de proteção de dados. Ele será o Guardião da Lei, responsável por mostrar os mínimos detalhes e motivar todos os funcionários da Empresa, seguindo as melhores práticas de proteção de dados.
Fonte:
