Com a vigência da Lei Geral de Proteção de Dados, Lei n.º 13.709/2018, atualmente, todas as empresas de qualquer porte devem nomear um encarregado pelo tratamento dos dados pessoais, também conhecido como Data Protection Officer (DPO), merecendo destacar que a própria LGPD estabelece que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, o que não ocorreu ainda.

Pela definição da Lei, o encarregado é o responsável por receber reclamações e comunicações dos titulares, prestar esclarecimentos, tomar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem adotadas em relação à proteção de dados, bem como pela comunicação entre o controlador (empresa), os titulares dos dados e a Autoridade Nacional de Proteção de Dados, sendo que sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site eletrônico do Controlador.

A LGPD não exige que encarregado seja necessariamente um funcionário do controlador dos dados.

Nesse sentido, várias empresas têm terceirizado esta função, contratando profissionais especializados em Direito e/ou Segurança da Informação para ocuparem a função de DPO.

Além disso, também não há quaisquer empecilhos para que o DPO seja uma pessoa jurídica, razão pela qual é possível contratar uma empresa terceirizada como encarregado.

O encarregado, seja pessoa física ou jurídica, deve ter conhecimento detalhado da LGPD, em segurança da informação, juntamente com experiência e visão estratégicas e em processos, para trabalhar em conjunto com o controlador e operador e atuar como canal de comunicação perante os titulares dos dados tratados.

Não bastasse, antes de nomear o encarregado a empresa deve certificar previamente se, no exercício de suas funções, o DPO pode ser submetido a situações de conflito de interesse.

Em maio de 2020 a Autoridade Belga de Proteção de Dados (DPA) tomou a decisão de multar uma empresa em 50 mil euros, por nomeação inadequada de seu Oficial de Proteção de Dados (DPO).

Para a Autoridade de Proteção de Dados da Bélgica havia conflito de interesse nos papéis exercidos pelo profissional, eis que foi constatada a impossibilidade da cumulação de funções do Chefe de Conformidade, Risco, Auditoria e Data Protection Officer (DPO).

Assim,  com o acúmulo de funções, o DPO não poderia supervisionar de forma  independente as atividades de tratamento de dados pessoais por ele mesmo exercidas.

A empresa argumentou que não haveria conflito de interesses entre essas funções, pois o DPO não estaria envolvido em nenhuma tomada de decisão em torno do processamento de dados pessoais.

Todavia, esse argumento não foi acolhido.

Esta decisão da Autoridade Belga, abriu um importante precedente que mudou os critérios de indicação do DPO em boa parte da Europa.

No Brasil, a LGPD não possui uma definição clara quanto ao acúmulo de funções ou sobre conflito de interesses dos cargos, nem tampouco quais empresas precisam de ter um encarregado, ficando essas definições para a ANPD.

De toda forma, como não existe definição por parte da ANPD, todas as empresas devem ter um encarregado nomeado e devem constar essas informações de forma clara em seus sites.

Sua empresa já nomeou o encarregado? Precisa de alguma ajuda? Entre em contato conosco.

Publicado por Daniel Cioglia Lobão em 20/01/2021