A cada dia que passa a data para a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrar em vigência se aproxima mais, e muitas dúvidas a respeito de sua implementação ainda precisam ser respondidas. Entre os questionamentos, o que mais se destaca é a função e figura do Encarregado ou DPO (Data Protection Officer), em razão da influência europeia na lei brasileira.
A ideia principal da legislação é cuidar da proteção de dados pessoais dos funcionários e indivíduos de fora da organização. Por isso, a norma exige que determinadas instituições que recolhem, processam ou armazenam esse tipo de informação em larga escala tenham um DPO.
A legislação brasileira define o Encarregado como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos danos e a Autoridade Nacional de Proteção de Dados (ANPD)”, conforme art 5, inciso VIII, da LGPD.
Assim, de imediato, percebemos a importância do Encarregado na política de proteção de dados, que será responsável pela integração segura de todos os agentes envolvidos no tratamento de dados.
Qual a diferença entre encarregado e controlador
Outra figura que aparece com frequência na LGPD é o Controlador. É ele quem pratica qualquer tipo de tratamento de dados, fornecendo essas informações diretamente ao Encarregado, que pode ser uma pessoa natural ou uma empresa que faça essa função.
A diferença entre o Encarregado e o Controlador é o poder de decisão entre eles. Enquanto o Controlador é o responsável pela coleta de dados, o Encarregado é quem a partir das ordens dadas pelo Controlador, gerencia e atua sobre os dados. Por isso, é essencial que o DPO conheça a legislação, tenha experiência em governança e entenda de segurança da informação.
Inicialmente, na primeira medida original da lei, havia a exigência de que o Encarregado fosse uma pessoa natural, não havendo a possibilidade de indicar qualquer pessoa jurídica para exercer as atribuições do Encarregado. No entanto, após as modificações legislativas, a nova lei retirou o termo ‘natural’ do inciso VIII do art. 5°da LGPD, indicando a autorização para que pessoas jurídicas também possam assumir o papel de Encarregado.
Essa natureza jurídica do Encarregado é muito importante porque, além de aumentar sua possibilidade de atuação no direito brasileiro, a política de dados no país se torna também mais assertiva.
Atividades atribuídas ao encarregado
As atividades do Encarregado se encontram no art. 41 da LGPD, e são:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Com a legislação atual, fica claro que as funções do Encarregado deverão ser tratadas por meio de uma regulamentação específica e avaliadas pela Autoridade Nacional de Proteção de Dados.
Os dados captados deverão ser informados pelo Encarregado somente por meio do Controlador. Portanto, o Encarregado e o Controlador desenvolvem uma relação mútua, já que o Controlador terá o constante acompanhamento e monitoramento das atividades de tratamento de dados.
Requisitos técnicos de um encarregado
Uma dúvida ainda recorrente é a qualificação técnica (ou não) do encarregado. Qual a sua formação? Experiência? Deve fazer algum curso específico para ser DPO?
Na lei europeia não foram impostas formações de áreas específicas, indicando que a pessoa deveria apenas conhecer a legislação de proteção de dados e ser capaz de desempenhar as atividades impostas no regulamento.
No Brasil, a primeira medida original da lei previa a necessidade de conhecimento jurídico regulatório, porém, esse requisito foi excluído porque essa condição seria contrária ao interesse público, restringindo o livre exercício profissional. Portanto, atualmente, não há exigências técnicas que sejam avaliadas para autenticar um Encarregado.
De toda forma, como não há exigências para se tornar Encarregado, espera-se do profissional conhecimentos jurídicos a respeito da legislação de proteção de dados, não se limitando apenas à LGPD, mas também conhecimentos sobre segurança de informação.
Além disso, é importante que o Encarregado também tenha conhecimentos de governança e boa capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área jurídica, Tecnológica (TI), Financeiro, Marketing, Comercial e Recursos Humanos.
Para que a LGPD seja cumprida de forma correta, é necessário que o Encarregado seja o principal ponto de apoio do Controlador.
Se você quiser saber sobre outros 9 pilares de adequação à LGPD, acompanhe este outro texto do blog da BHS!
Esse conteúdo foi produzido por advogados especialistas da Corrêa Ferreira Advogados.