Informagno | Gestão em TI

LGPD: qual é a função do encarregado pelo tratamento de dados pessoais?

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor recentemente e trouxe a figura do Encarregado pelo tratamento de dados pessoais (DPO). Conheça mais sobre ele!

O que é DPO na LGPD?

O encarregado pelo tratamento de dados pessoais é também chamado de DPO (Data Protection Officer) e está incluído no Artigo 41 da LGPD. E quem é o encarregado na LGPD?

O Encarregado pelo tratamento de dados pessoais é uma pessoa nomeada pela empresa que coleta dados (controlador) e a que trata dados a mando do controlador (operador) que terá como uma de suas funções a mediação entre a empresa, os titulares dos dados pessoais (funcionários, fornecedores e clientes) e o próprio governo (por meio da ANPD) ou até outro órgão que tenha ação sobre o uso de dados pessoais. 

De acordo com o artigo 5º, VIII, o encarregado de dados é “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

A quem cabe indicar um encarregado de acordo com o artigo 41 da LGPD?

O encarregado de proteção de dados deve ser nomeado obrigatoriamente pelo controlador, conforme o artigo 41 da LGPD. 

No entanto, é importante destacar que o artigo 23, inciso III, também traz a obrigatoriedade de indicação do encarregado pelo tratamento de dados pessoais por pessoa jurídica de direito público:

“O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que […] seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei”

Uma dúvida que tem surgido entre as empresas é quanto à obrigatoriedade desse cargo em todas elas. A LGPD estabelece uma hipótese de exclusão dessa função, cuja decisão competirá à ANPD, como consta no parágrafo terceiro, inciso IV do artigo 41:

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Quem pode ser DPO? 

O texto original da LGPD previa que o encarregado de proteção de dados seria “pessoa natural”. Mas o termo “natural” foi suprimido por normas que alteraram a LGPD original. Na publicação em vigor, portanto, pessoas físicas e jurídicas podem atuar como encarregado de dados.

Outro ponto que suscita dúvida sobre o que é DPO na LGPD é a capacidade técnica. O encarregado pelo tratamento de dados pessoais precisa ter algum conhecimento específico?

Originalmente, sim. Havia regras que estabeleciam que o encarregado de dados deveria ter conhecimento jurídico-regulatório e ter garantia da autonomia técnica e profissional no exercício do cargo. Eram regras bastante similares à GDPR.

Porém, essas regras não prevaleceram. As alterações na LGPD excluíram a exigência de conhecimento jurídico e técnico pelo encarregado pelo tratamento de dados pessoais. 

Mesmo assim, é altamente recomendável que o DPO tenha comprovado conhecimento jurídico sobre proteção de dados e noções acerca do funcionamento da tecnologia utilizada pelo controlador. 

Veja algumas habilidades importantes para um bom encarregado pelo tratamento de dados pessoais:

  • Capacidade de transitar bem entre diferentes públicos e de traduzir linguagem técnica e jurídica para o público em geral;
  • Conhecimento sobre o tipo de operações de tratamento, tecnologia e segurança da informação;
  • Conhecimento da GDPR, da LGPD e de outras normas de proteção de dados pessoais;
  • Habilidade para promover cultura de segurança de dados na empresa;
  • Nível de experiência e conhecimento conforme o tipo de operação;
  • Entendimento sobre o segmento de atuação da organização;
  • Conhecimento sobre gestão de riscos e governança.

Vale lembrar que a ANPD ainda pode regulamentar requisitos mínimos para o exercício dessa função.

Seja quem for o encarregado nomeado, ele deve ter sua identidade e informações de contato públicas e divulgadas amplamente – por exemplo, no site da própria empresa. 

Isso facilitará o acesso dos titulares de dados ao empreendimento em caso de alguma solicitação (como o pedido de alteração de cadastro, por exemplo).

As funções do encarregado pelo tratamento de dados pessoais

Qual a responsabilidade do DPO? Conforme o artigo 41 da LGPD, são quatro funções do encarregado pelo tratamento de dados pessoais.

São elas:

Função 1: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências (Artigo 41, inciso I do parágrafo segundo).

Na prática, sempre que houver alguma reclamação ou solicitação por parte do titular de um dado pessoal (um cliente, por exemplo), é o encarregado que a recebe e toma as devidas providências.

Exemplo: Um cidadão deseja revogar um consentimento realizado no passado. 

É o encarregado pelo tratamento dos dados pessoais que aceitará essa solicitação e tomará as providências para resolver a demanda (como, por exemplo, delegar a tarefa ao colaborador específico e se certificar que ela foi feita), prestando todos os esclarecimentos ao titular. 

Função 2: receber comunicações da autoridade nacional e adotar providências (Artigo 41, inciso II do parágrafo segundo).

O encarregado também será o mediador entre a empresa e o governo. Ele quem vai receber os comunicados da ANPD e adotar as devidas providências. 

Aliás, essa função é muito comum em diversos segmentos que atuam com agências reguladoras, como o setor financeiro e o de saúde, por exemplo.

Então, na prática, o encarregado precisa ficar atento a normativas emitidas pela autoridade nacional e garantir que elas serão cumpridas pela empresa – quando essas normativas exigirem alguma ação. Caso sejam apenas informativas, ele também é o responsável por manter o empreendimento atualizado. 

Função 3: orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais (Artigo 41, inciso III do parágrafo segundo).

A proteção aos dados pessoais é uma prática obrigatória para pessoas físicas e jurídicas. Isso significa que toda a sua atuação deve estar em conformidade com a lei. 

Para que isso ocorra na prática, os funcionários e os contratados de uma empresa devem atuar sempre dentro das regras da LGPD. E quem deverá orientá-los é o encarregado pelo tratamento de dados pessoais.

Ele poderá, por exemplo, dar palestras e treinamentos aos colaboradores, com o intuito de prepará-los para lidar com os dados pessoais. Neste ponto, vale chamar a atenção para a equipe de marketing e vendas, que trabalham diretamente com tais dados.

Implicitamente, de acordo com os preceitos da lei, o DPO também deverá informar, com regularidade, a conformidade e os riscos à autoridade. Sempre deverá trabalhar em conjunto com outras posições de compliance e ser a “ponte” entre as áreas correlatas (TI, RH, jurídico e outras).

Função 4: executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (Artigo 41, inciso IV do parágrafo segundo).

A empresa, com auxílio de profissionais de TI e advogados, pode estabelecer outras normas de segurança da informação  que dizem respeito aos dados pessoais. Podem, também, fixar atribuições para o encarregado, que deverá executá-las dentro dos preceitos legais.

Além disso, a ANPD pode vir a publicar normas complementares à LGPD, sempre com o propósito de proteção aos dados pessoais. Caso essas normas fixem requisitos e funções para o encarregado, ele deverá cumpri-las.

Outras funções do encarregado pelo tratamento de dados pessoais

Na LGPD, encarregado de dados é responsável por essas quatro funções delimitadas no artigo 41 da LGPD. Porém, há outras atribuições que a lei confere ao encarregado.

Ele é o responsável, por exemplo, por elaborar o relatório de impacto à proteção de dados pessoais (art. 5º, XVII): 

Art. 5º, XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Este documento pode ser exigido pela ANPD em alguns casos, como no tratamento de dados sensíveis. Veja:

Art. 10, §3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Além das atribuições previstas na LGPD, alguns advogados defendem que é possível tomar a GDPR como parâmetro para complementar a lei nacional.

De acordo com o artigo 39 da GDPR, são funções do encarregado pelo tratamento de dados pessoais:

  • Controlar a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
  • Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
  • Ponto de contato para a autoridade de controle sobre questões relacionadas ao tratamento, incluindo a consulta prévia a que se refere o artigo 36, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto;
  • Prestar aconselhamento, quando lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35;
  • Cooperar com a autoridade de controle.

No Brasil, as funções do encarregado pelo tratamento de dados pessoais estão na LGPD. 

Presente em empresas que lidam com tais dados, é o responsável por gerir tudo que diz respeito ao tratamento. Isso inclui solicitações de usuários, treinamento a funcionários e muito mais.