cada dia que passa a data para a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrar em vigência se aproxima maise muitas dúvidas a respeito de sua implementação ainda precisam ser respondidas Entre os questionamentos, o que mais se destaca é a função e figura do Encarregado ou DPO (Data Protection Officer), em razão da influência europeia na lei brasileira. 

A ideia principal da legislação é cuidar da proteção de dados pessoais dos funcionários e indivíduos de fora da organização. Por isso, a norma exige que determinadas instituições que recolhem, processam ou armazenam esse tipo de informação em larga escala tenham um DPO. 

A legislação brasileira define o Encarregado como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos danos e a Autoridade Nacional de Proteção de Dados (ANPD)”, conforme art 5, inciso VIII, da LGPD.

Assim, de imediato, percebemos a importância do Encarregado na política de proteção de dados, que será responsável pela integração segura de todos os agentes envolvidos no tratamento de dados. 

Qual a diferença entre encarregado e controlador

Outra figura que aparece com frequência na LGPD é o ControladorÉ ele quem pratica qualquer tipo de tratamento de dados, fornecendo essas informações diretamente ao Encarregado, que pode ser uma pessoa natural ou uma empresa que faça essa função. 

A diferença entre o Encarregado e o Controlador é o poder de decisão entre eles. Enquanto o Controlador é o responsável pela coleta de dados, o Encarregado é quem a partir das ordens dadas pelo Controlador, gerencia e atua sobre os dados. Por isso, é essencial que o DPO conheça a legislação, tenha experiência em governança e entenda de segurança da informação. 

Inicialmente, na primeira medida original da lei, havia a exigência de que o Encarregado fosse uma pessoa natural, não havendo a possibilidade de indicar qualquer pessoa jurídica para exercer as atribuições do Encarregado. No entanto, após as modificações legislativas, a nova lei retirou o termo ‘natural’ do inciso VIII do art. 5°da LGPD, indicando a autorização para que pessoas jurídicas também possam assumir o papel de Encarregado. 

Essa natureza jurídica do Encarregado é muito importante porque, além de aumentar sua possibilidade de atuação no direito brasileiro, a política de dados no país se torna também mais assertiva.  

Atividades atribuídas ao encarregado

As atividades do Encarregado se encontram no art. 41 da LGPD, e são:  

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Com a legislação atual, fica claro que as funções do Encarregado deverão ser tratadas por meio de uma regulamentação específica e avaliadas pela Autoridade Nacional de Proteção de Dados.  

Os dados captados deverão ser informados pelo Encarregado somente por meio do Controlador. Portanto, o Encarregado e o Controlador desenvolvem uma relação mútua que o Controlador terá o constante acompanhamento e monitoramento das atividades de tratamento de dados. 

Requisitos técnicos de um encarregado

Uma dúvida ainda recorrente é a qualificação técnica (ou não) do encarregado. Qual a sua formação? Experiência? Deve fazer algum curso específico para ser DPO? 

Na lei europeia não foram impostas formações de áreas específicas, indicando que a pessoa deveria apenas conhecer a legislação de proteção de dados e ser capaz de desempenhar as atividades impostas no regulamento. 

No Brasil, a primeira medida original da lei previa a necessidade de conhecimento jurídico regulatório, porém, esse requisito foi excluído porque essa condição seria contrária ao interesse público, restringindo o livre exercício profissional. Portanto, atualmente, não há exigências técnicas que sejam avaliadas para autenticar um Encarregado.  

De toda forma, como não há exigências para se tornar Encarregado, espera-se do profissional conhecimentos jurídicos a respeito da legislação de proteção de dados, não se limitando apenas à LGPD, mas também conhecimentos sobre segurança de informação.  

Além disso, é importante que o Encarregado também tenha conhecimentos de governança e boa capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área jurídica, Tecnológica (TI), Financeiro, Marketing, Comercial e Recursos Humanos. 

Para que a LGPD seja cumprida de forma correta, é necessário que o Encarregado seja o principal ponto de apoio do Controlador. 

Se você quiser saber sobre outros 9 pilares de adequação à LGPD, acompanhe este outro texto do blog da BHS! 

 

Esse conteúdo foi produzido por advogados especialistas da Corrêa Ferreira Advogados.