LGPD - FUNÇÕES DO ENCARREGADO (EPD OU DPO)

-



O encarregado de dados pessoais (EDP) é a pessoa responsável por garantir a conformidade de uma organização, pública ou privada à luz da Lei Geral de Proteção de Dados - LGPD. Conhecido também como "data protection officer (DPO) em detrimento da nomenclatura a ele utilizada pela normativa europeia GDPR. 

Conforme o artigo 5º, inciso VIII da Lei Geral de Proteção de Dados[1], corresponde a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).  

Embrionariamente a LGPD buscou restringir a figura do DPO a uma pessoa natural, todavia com as alterações da Lei nº. 13.853/2019[2] estabeleceu-se um caráter mais abrangente a esta função. Hoje o encarregado pode ser tanto uma pessoa física, como uma pessoa jurídica.

A ANPD, em poder se suas atribuições, trouxe em seu Guia Orientativo[3], publicado em 28/05/2021, diretrizes (não vinculantes) mais específicas sobre quem pode exercer a função de encarregado, frisando suas atividades, bem como regimes de responsabilidades.

Em síntese, o encarregado pode ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica, sendo recomendado que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

E neste contexto, cabe ressaltar uma figura bastante conhecida no mercado, que é o "DPO as a service", que nada mais é que a nomeação de uma pessoa física ou jurídica que presta serviços como encarregado da empresa, tendo por base um instrumento contratual.

Ao passo que, o encarregado pode vir a atuar em nome de diferentes organizações, desde que seja capaz de realizar suas atribuições com eficiência, atendendo com efetividade as atividades inerentes as suas responsabilidades legais e exigidas por cada organização que o contratou.

É observado também que a LGPD não proíbe que o encarregado seja apoiado por uma equipe de proteção de dados e considerando as boas práticas, é importante inclusive que o encarregado tenha de fato recursos adequados para realizar suas atividades, o que inclui recursos humanos, infraestrutura e suporte financeiro.

Um questionamento comum neste tema se refere a obrigatoriedade da nomeação de um encarregado pelo tratamento de dados pessoais. Veja que a LGPD determina que o controlador “deve” indicar um encarregado, o que denota sua indispensabilidade a princípio.

“Do Encarregado pelo Tratamento de Dados Pessoais

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.” 

Destarte, inspirada nas diretrizes europeias trazidas pela GDPR, a própria ANPD já sinalizou, com fulcro no artigo 41, parágrafo 3º da LGPD, que normativas futuras poderão trazer hipóteses de dispensa da necessidade de indicação de um encarregado, tendo por base a natureza e o porte da entidade, ou até mesmo o volume de operações de tratamento.

Como dito, ocorrida a nomeação do encarregado de dados pessoais, seja um funcionário da própria empresa ou terceiro contratado, a identidade e as informações de contato deste DPO devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

É observado que o encarregado não possuirá qualquer registro ou cadastro junto à ANPD, porém a disponibilidade e veiculação de seus dados de contato deve ser de fácil acesso não só para a própria ANPD, como para qualquer titular de dados pessoais.

Ainda, no artigo 41 da LGPD, em seu parágrafo 2º, são elencadas as atividades do DPO, no qual consistem em: aceitar reclamações e comunicações de titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O DPO deve colocar em prática as regras estabelecidas pela legislação relacionada a proteção de dados pessoais, atuando de forma independente e ética, tendo como premissa o princípio da transparência, o registro e a documentação de suas atividades.

Deve instruir todos os colaboradores da empresa para que tenham ciência da importância da aplicação e abrangência da LGPD, capacitar pessoas para que pratiquem as melhores práticas a fim de se evitar incidentes de segurança, transitar em todas as áreas da companhia, compreendendo o tratamento de dados pessoais de forma geral, realizando auditorias, viabilizando a confecção de registros e documentos, sanando dúvidas relacionadas a LGPD, entre outras atividades essenciais.

O DPO precisa ter percepção de todo o universo da empresa, sendo primordial que trabalhe de forma conjunta com todos os departamentos da empresa, principalmente com o de TI. É fundamental que o alto escalão executivo da empresa também atue em parcimônia com o encarregado de dados pessoais, compreendendo, debatendo e apoiando projetos relacionados ao tema.

Ao ter um panorama geral da empresa, o DPO saberá onde buscar informações ou documentos, bem como quem acionar caso se depare com um incidente de segurança. O encarregado deve ter um domínio do todo para que faça a gestão de riscos e atue com eficiência. Lembrando que a LGPD não trata apenas da proteção de dados no meio digital, mas o que se relaciona ao meio físico também.

E para ser nomeado como Data Protection Officer – DPO, no caso de uma pessoa física, não se faz necessário que se tenha um curso ou graduação específica, o que se espera do profissional/prestador é que ele tenha notório conhecimento sobre o universo que perfaz a proteção de dados pessoais. Vejamos a imagem abaixo que ilustra este contexto de expertises:



Desta forma, o encarregado de dados pessoais é um especialista em proteção de dados pessoais, que deve garantir que a empresa esteja em conformidade com as regras e boas práticas exigidas pela LGPD e demais aplicáveis. Sendo o ponto focal em proteção de dados pessoais na empresa, bem como o canal de comunicação junto aos titulares e da Autoridade Nacional de Proteção de Dados.

Por fim, é ressaltado que o encarregado desenvolve suas atividades sob o comando e orientação do controlador, logo, a regra é que não possa ser imputado a ele responsabilidades no tange a esfera administrativa, cível e criminal.

Todavia, em artigo futuro trataremos com mais exatidão sobre a responsabilidade dos agentes de tratamento e em especial, do próprio encarregado de dados pessoais, posto a relevância e necessidade de compreensão pormenorizada do assunto, visando que o profissional/prestador possa assumir os complexos desafios desta vereda, com plenitude.



Autora desde artigo: Nadya Prinet Godoy

Disponibilizado em: Ago/2021

Photo by Kaitlyn Baker on Unsplash




[1] Presidência da República. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 30 de agosto de 2021.

[2]  Presidência da República. Altera a Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/l13853.htm. Acesso em: 30 de agosto de 2021.

[3] GOVERNO Federal - ANPD. Guia Orientativo para definições dos agentes de tratamento de dados pessoais e o encarregado. Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/outros-documentos-externos/anpd_guia_agentes_de_tratamento.pdf. Acesso em: 30 de agosto de 2021.


Location: São Paulo, Brasil

Comentários

Postar um comentário

Postagens mais visitadas deste blog

PRIMEIRA MULTA APLICADA PELA ANPD - EMPRESA DE PEQUENO PORTE

-
Imagem
  Na última semana, mais precisamente na sexta-feira, a ANPD divulgou a ocorrência da primeira multa aplicada pelo descumprimento da LGPD [1] no Brasil e desde então o assunto ganhou bastante repercussão no mundo jurídico e empresarial. Trata-se de um marco legal significativo, haja vista que inaugura uma fase de fiscalizações e sanções por atos contrários a preservação da privacidade de dados pessoais no país em detrimento dos ditames estabelecidos pela LGPD. A penalidade ocorreu após a conclusão de um processo administrativo sancionador de nº 00261.000489/2022-62 conduzido pela Coordenação-Geral de Fiscalização (CGF/ANPD) e publicado no Diário Oficial da União no dia último dia 06 de julho [2] . Para a surpresa de muitas empresas de pequeno e médio porte, que em sua maioria, não dão tanta credibilidade a LGPD, seja pela possibilidade de serem fiscalizadas ou até mesmo sancionadas, a empresa autuada foi uma microempresa de telemarketing localizada no estado do Espírito Sant...
Leia na íntegra

ANPD - 1ª Semana de Proteção de Dados Pessoais - DIA 02

-
Imagem
  ANPD Como sabido, nesta semana (30/05 a 03/06/2022) a Autoridade Nacional de Proteção de Dados - ANPD promove a 1ª Semana de Proteção de Dados Pessoais , com a iniciativa do Programa de Privacidade e Segurança da Informação (PPSI), da Secretaria de Governo Digital e do Ministério da Economia [1] . Em continuidade ao artigo anterior, trataremos do conteúdo disponibilizado no segundo dia do curso: DIA 02 – 31/05/2022 – TEMA: PRIVACIDADE NO PODER PÚBLICO HORÁRIO: 09:00 - 10:30 TEMA: LAI versus LGPD  PALESTRANTE: Marcos Lindenmayer - Chefe de Gabinete da Ouvidoria-Geral da União (OGU/CGU) Perguntas realizadas pelo público (respostas em 1:01:20 h do vídeo): 1. Em relação a dados pessoais de servidores públicos requeridos pelos cidadãos, quais os limites que a LGPD traz para fornecer ou não estes dados? 2. Quando se fala de dados pessoais, se aplica também a PJ? E a respeito dos dados de servidores públicos indicados em documentos públicos é considerado também divulga...
Leia na íntegra

LGPD - COMO COMUNICAR UM INCIDENTE DE PRIVACIDADE PARA ANPD

-
Imagem
  Em artigos anteriores tratamos com mais detalhes sobre o que corresponde ao temido vazamento de dados pessoais, bem como da relevância de uma governança eficiente e de uma gestão de riscos que busque evitar a ocorrência de incidentes de segurança. Lembrando que um incidente de segurança diz respeito a situações que coloquem em risco a preservação de dados pessoais tratados por um agente, seja através do acesso e conhecimento de pessoas não autorizadas, até situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Veja que os agentes de tratamento de dados pessoais ou qualquer outra pessoa que intervenha em uma das fases do tratamento é obrigada a garantir a segurança da informação determinada pela Lei Geral de Proteção Dados, mesmo após finda a necessidade de utilização de tais dados. Sendo primordial neste contexto, que agentes de tratamento de dados adotem medidas de segurança, técnicas e administr...
Leia na íntegra