A Lei Geral de Proteção de dados (LGPD) regulamenta o tratamento dos dados pessoais por pessoa física ou por pessoa jurídica de direito público ou privado no território nacional.
Inspirada na Legislação Europeia de Proteção de
Dados Pessoais (“General Data Protection Regulation – GDPR”), a LGPD exige que
as empresas e profissionais autônomos revejam as suas operações e procedimentos
que envolvam a utilização de dados pessoais dos seus colaboradores, clientes,
fornecedores e parceiros comerciais.
A LGPD trouxe a figura do encarregado de dados, que
é equivalente ao DPO (data protection officer) na GDPR. Neste
artigo serão abordadas as principais dúvidas que as empresas estão tendo neste
ponto da lei.
1- Quais as atribuições do encarregado de
dados/DPO?
Pelos termos da LGPD (art. 41, §2º) as atribuições
do encarregado são as seguintes: (i) aceitar reclamações e comunicações dos
titulares e prestar os respectivos esclarecimentos;(ii) receber comunicações da
autoridade nacional e adotar providências necessárias; (iii) orientar os
funcionários e os contratados da organização a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais e (iv) executar as demais
atribuições determinadas pelo controlador ou estabelecidas em normas
complementares.
A Lei ainda reserva a possibilidade de a Autoridade
Nacional de Proteção de Dados (ANPD) estabelecer novas atribuições ao
encarregado e também a possibilidade de dispensa da obrigatoriedade da sua
indicação, a depender da natureza, do porte da entidade ou do volume de
operações de tratamento de dados. Contudo, enquanto a ANPD não expedir qualquer
regulamentação nesse sentido, todas as empresas precisaram indicar o contato do
seu encarregado de forma clara e objetiva, preferencialmente no seu sítio eletrônico.
2- O encarregado deve ser um empregado da empresa
ou pode ser terceirizado?
Pelos termos da lei, a empresa pode optar por
qualquer uma destas modalidades, desde que a opção escolhida seja capaz de bem
atender as atribuições previstas no art. 41, §2º da LGPD acima mencionadas.
As vantagens de o encarregado ser um colaborador da
empresa são o maior conhecimento dos procedimentos internos e o seu maior
comprometimento com a organização. Por outro lado, esta opção acaba
representando um custo alto para a empresa e por isso acaba sendo mais indicada
para as empresas de médio e grande porte.
Caso seja um colaborador que acumule funções (não
seja exclusivamente encarregado/DPO), é importante que não ocupe posição que o
leve a determinar os objetivos e os meios de processamento de dados pessoais,
pois deve ser garantida a autonomia e a isenção do encarregado Assim, o
encarregado não pode ser responsável por funções que possam resultar na
alocação da proteção de dados em papel secundário diante dos interesses
comerciais da organização.
Portanto, para que não haja conflitos de
interesses, pode ser nomeado como encarregado um colaborador já existente na
empresa, desde que os seus deveres profissionais sejam compatíveis com os
deveres legais do encarregado.
Por sua vez, o encarregado terceirizado pode
representar um custo mais baixo para a empresa, sendo mais indicado para
empresas de pequeno e médio porte. Para desempenhar a sua função é necessário o
prévio conhecimento das rotinas da organização e por não compor a equipe
interna da empresa acaba tendo maior autonomia no desempenho da sua função.
Seja interno ou terceirizado para que o encarregado
possa cumprir com as suas funções é de rigor o seu envolvimento com todas as
questões relacionadas com a proteção de dados na empresa, que se reporte
diretamente com o mais alto nível da gestão da organização e que seja
assegurada atuação de forma independente, autônoma e com os recursos adequados
(tempo suficiente, finanças, infraestrutura e, quando apropriado, equipe etc).
3- Quais as qualificações necessárias para ocupar o
cargo de encarregado de dados/DPO?
A LGPD não faz qualquer menção neste sentido. Já a
GDPR diz que o DPO deve ter experiência e conhecimento especializado em
legislação de proteção de dados, mas não lista as credenciais/certificações que
se espera que ele tenha. Ressalva, apenas, que deve ser proporcional ao tipo de
tratamento de dados pelo qual será responsável.
4- Qual a responsabilidade do encarregado de dados?
O encarregado não é pessoalmente responsável pela
conformidade da empresa. No entanto, desempenha papel crucial em ajudar o
controlador e o operador de dados cumprirem adequadamente os termos da LGPD
dentro da organização. Por tal razão as empresas devem ter cautela na nomeação
do seu respectivo encarregado de dados.
Juliana Callado Gonçales - sócia do Silveira
Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)
Nenhum comentário:
Postar um comentário