A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor recentemente e trouxe a figura do Encarregado pelo tratamento de dados pessoais (DPO). Conheça mais sobre ele!
O que é DPO na LGPD?
O encarregado pelo tratamento de dados pessoais é também chamado de DPO (Data Protection Officer) e está incluído no Artigo 41 da LGPD. E quem é o encarregado na LGPD?
O Encarregado pelo tratamento de dados pessoais é uma pessoa nomeada pela empresa que coleta dados (controlador) e a que trata dados a mando do controlador (operador) que terá como uma de suas funções a mediação entre a empresa, os titulares dos dados pessoais (funcionários, fornecedores e clientes) e o próprio governo (por meio da ANPD) ou até outro órgão que tenha ação sobre o uso de dados pessoais.
De acordo com o artigo 5º, VIII, o encarregado de dados é “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
A quem cabe indicar um encarregado de acordo com o artigo 41 da LGPD?
O encarregado de proteção de dados deve ser nomeado obrigatoriamente pelo controlador, conforme o artigo 41 da LGPD.
No entanto, é importante destacar que o artigo 23, inciso III, também traz a obrigatoriedade de indicação do encarregado pelo tratamento de dados pessoais por pessoa jurídica de direito público:
“O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que […] seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei”
Uma dúvida que tem surgido entre as empresas é quanto à obrigatoriedade desse cargo em todas elas. A LGPD estabelece uma hipótese de exclusão dessa função, cuja decisão competirá à ANPD, como consta no parágrafo terceiro, inciso IV do artigo 41:
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Quem pode ser DPO?
O texto original da LGPD previa que o encarregado de proteção de dados seria “pessoa natural”. Mas o termo “natural” foi suprimido por normas que alteraram a LGPD original. Na publicação em vigor, portanto, pessoas físicas e jurídicas podem atuar como encarregado de dados.
Outro ponto que suscita dúvida sobre o que é DPO na LGPD é a capacidade técnica. O encarregado pelo tratamento de dados pessoais precisa ter algum conhecimento específico?
Originalmente, sim. Havia regras que estabeleciam que o encarregado de dados deveria ter conhecimento jurídico-regulatório e ter garantia da autonomia técnica e profissional no exercício do cargo. Eram regras bastante similares à GDPR.
Porém, essas regras não prevaleceram. As alterações na LGPD excluíram a exigência de conhecimento jurídico e técnico pelo encarregado pelo tratamento de dados pessoais.
Mesmo assim, é altamente recomendável que o DPO tenha comprovado conhecimento jurídico sobre proteção de dados e noções acerca do funcionamento da tecnologia utilizada pelo controlador.
Veja algumas habilidades importantes para um bom encarregado pelo tratamento de dados pessoais:
- Capacidade de transitar bem entre diferentes públicos e de traduzir linguagem técnica e jurídica para o público em geral;
- Conhecimento sobre o tipo de operações de tratamento, tecnologia e segurança da informação;
- Conhecimento da GDPR, da LGPD e de outras normas de proteção de dados pessoais;
- Habilidade para promover cultura de segurança de dados na empresa;
- Nível de experiência e conhecimento conforme o tipo de operação;
- Entendimento sobre o segmento de atuação da organização;
- Conhecimento sobre gestão de riscos e governança.
Vale lembrar que a ANPD ainda pode regulamentar requisitos mínimos para o exercício dessa função.
Seja quem for o encarregado nomeado, ele deve ter sua identidade e informações de contato públicas e divulgadas amplamente – por exemplo, no site da própria empresa.
Isso facilitará o acesso dos titulares de dados ao empreendimento em caso de alguma solicitação (como o pedido de alteração de cadastro, por exemplo).
As funções do encarregado pelo tratamento de dados pessoais
Qual a responsabilidade do DPO? Conforme o artigo 41 da LGPD, são quatro funções do encarregado pelo tratamento de dados pessoais.
São elas:
Função 1: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências (Artigo 41, inciso I do parágrafo segundo).
Na prática, sempre que houver alguma reclamação ou solicitação por parte do titular de um dado pessoal (um cliente, por exemplo), é o encarregado que a recebe e toma as devidas providências.
Exemplo: Um cidadão deseja revogar um consentimento realizado no passado.
É o encarregado pelo tratamento dos dados pessoais que aceitará essa solicitação e tomará as providências para resolver a demanda (como, por exemplo, delegar a tarefa ao colaborador específico e se certificar que ela foi feita), prestando todos os esclarecimentos ao titular.
Função 2: receber comunicações da autoridade nacional e adotar providências (Artigo 41, inciso II do parágrafo segundo).
O encarregado também será o mediador entre a empresa e o governo. Ele quem vai receber os comunicados da ANPD e adotar as devidas providências.
Aliás, essa função é muito comum em diversos segmentos que atuam com agências reguladoras, como o setor financeiro e o de saúde, por exemplo.
Então, na prática, o encarregado precisa ficar atento a normativas emitidas pela autoridade nacional e garantir que elas serão cumpridas pela empresa – quando essas normativas exigirem alguma ação. Caso sejam apenas informativas, ele também é o responsável por manter o empreendimento atualizado.
Função 3: orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais (Artigo 41, inciso III do parágrafo segundo).
A proteção aos dados pessoais é uma prática obrigatória para pessoas físicas e jurídicas. Isso significa que toda a sua atuação deve estar em conformidade com a lei.
Para que isso ocorra na prática, os funcionários e os contratados de uma empresa devem atuar sempre dentro das regras da LGPD. E quem deverá orientá-los é o encarregado pelo tratamento de dados pessoais.
Ele poderá, por exemplo, dar palestras e treinamentos aos colaboradores, com o intuito de prepará-los para lidar com os dados pessoais. Neste ponto, vale chamar a atenção para a equipe de marketing e vendas, que trabalham diretamente com tais dados.
Implicitamente, de acordo com os preceitos da lei, o DPO também deverá informar, com regularidade, a conformidade e os riscos à autoridade. Sempre deverá trabalhar em conjunto com outras posições de compliance e ser a “ponte” entre as áreas correlatas (TI, RH, jurídico e outras).
Função 4: executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (Artigo 41, inciso IV do parágrafo segundo).
A empresa, com auxílio de profissionais de TI e advogados, pode estabelecer outras normas de segurança da informação que dizem respeito aos dados pessoais. Podem, também, fixar atribuições para o encarregado, que deverá executá-las dentro dos preceitos legais.
Além disso, a ANPD pode vir a publicar normas complementares à LGPD, sempre com o propósito de proteção aos dados pessoais. Caso essas normas fixem requisitos e funções para o encarregado, ele deverá cumpri-las.
Outras funções do encarregado pelo tratamento de dados pessoais
Na LGPD, encarregado de dados é responsável por essas quatro funções delimitadas no artigo 41 da LGPD. Porém, há outras atribuições que a lei confere ao encarregado.
Ele é o responsável, por exemplo, por elaborar o relatório de impacto à proteção de dados pessoais (art. 5º, XVII):
Art. 5º, XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Este documento pode ser exigido pela ANPD em alguns casos, como no tratamento de dados sensíveis. Veja:
Art. 10, §3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Além das atribuições previstas na LGPD, alguns advogados defendem que é possível tomar a GDPR como parâmetro para complementar a lei nacional.
De acordo com o artigo 39 da GDPR, são funções do encarregado pelo tratamento de dados pessoais:
- Controlar a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
- Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
- Ponto de contato para a autoridade de controle sobre questões relacionadas ao tratamento, incluindo a consulta prévia a que se refere o artigo 36, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto;
- Prestar aconselhamento, quando lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35;
- Cooperar com a autoridade de controle.
No Brasil, as funções do encarregado pelo tratamento de dados pessoais estão na LGPD.
Presente em empresas que lidam com tais dados, é o responsável por gerir tudo que diz respeito ao tratamento. Isso inclui solicitações de usuários, treinamento a funcionários e muito mais.