Conheça as funções do Encarregado (DPO)

Com a chegada da Lei Geral de Proteção de Dados, todas as empresas que fazem coleta, armazenamento, classificação, utilização ou qualquer tipo de tratamento de dados pessoais, precisarão se adequar.

Dentre as novas imposições legais está a criação de um encarregado de proteção de dados pessoais ou Data Protection Officer (DPO), atribuição que desperta dúvidas entre empreendedores, profissionais da tecnologia da informação e do direito.

Mas, o que é a figura do encarregado (DPO)?

O encarregado (Data Protection Officer) é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

A nomeação de um DPO é uma medida de governança essencial.Por outro lado, Lei Geral de Proteção de Dados não exige que o encarregado seja empregado do controlador ou operador, sendo possível a terceirização da função, denominada “DPO as a service.

Isto significa que, até o momento, todas as empresas, organizações, startups, que coletem dados de forma digital ou analógica, deverão indicar explicitamente no website quem será o encarregado (DPO) da empresa e as informações de contato deste profissional, uma verdadeira inovação no cenário nacional.

A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. Além disso, é recomendável que o DPO seja pessoa diferente da que exerce a função de compliance officer, pois, na Bélgica, com base no GDPR uma empresa foi multada por ter nomeado head de compliance, auditoria e riscos como DPO.

Quanto às atividades do Encarregado, entre outras, a LGPD prevê as seguintes:

  1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  2. receber comunicações da autoridade nacional e adotar providências;
  3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Como será responsabilização do encarregado em caso de algum dano?

Em regra, responsabilização por danos causados por meio do exercício de atividade de tratamento de dados pessoais recai sobre os controladores ou operadores. Ou seja, se uma empresa por exemplo, ao realizar algum tipo de tratamento de dados pessoais, causar algum dano (seja a consumidores, funcionários, fornecedores ou quaisquer outras pessoas naturais), esteja ela na posição de controlador ou de operador, poderá ser responsabilizada por reparar este dano.

Assim, o Data Protection Officer que tenha efetivamente contribuído para o dano causado, pode vir a ser responsabilizado, a depender de seu grau de participação no evento, bem como da extensão das obrigações assumidas contratualmente, com a empresa empregadora ou contratante. Neste ponto, o contrato entre a empresa e seu DPO deve ser bastante rigoroso e regrar detalhadamente a atuação do profissional.

ANPD e a regulamentação do encarregado.

Por fim, é importante ressaltar que a recém-criada Autoridade Nacional de Proteção de Dados (ANPD), instituída por meio do Decreto nº 10.474/20, poderá estabelecer regras complementares sobre a definição e as atribuições do DPO, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. 

Desse modo, há necessidade de acompanhamento constante, com assessoria jurídica de confiança para que as operações de tratamento de dados pessoais estejam sempre de acordo com a LGPD e outras normas aplicáveis.

Mitos sobre o DPO:

Com a chegada da LGPD vários mitos surgiram com relação o DPO. Vamos tentar afastá-los aqui:

O DPO não precisa de experiência em proteção de dados e não precisa ser advogado. Além disso, o encarregado também não necessita de certificação em cursos ou em certificadoras.

Dessa forma, torna-se recomendável uma assessoria jurídica especializada, de maneira a balancear da melhor forma a parcela de responsabilidade de cada envolvido e evitar incidentes e violações à proteção de dados pessoais, os quais podem custar muito caro para todas as partes envolvidas.

Precisa de ajuda? Entre em contato conosco!