Uma das novidades incorporadas pela Lei Geral de Proteção de Dados Pessoais (LGPD), inspirada pela General Data Protection Regulation (GDPR), foi o encarregado de dados, também chamado de DPO (Data Protection Officer).
O encarregado de dado é a pessoa física ou jurídica indicada pelo controlador para atuar como canal de comunicação entre ele próprio, controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
A LGPD prevê a obrigatoriedade de empresas indicarem um encarregado. Contudo, ainda cabe à ANPD estabelecer normas complementares sobre a definição e as atribuições do Encarregado. Inclusive, estabelecer hipóteses para dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Quando houver necessidade de indicar o encarregado, o controlador, além de nomear a pessoa responsável, deve publicar a sua identidade e informações para contato de forma clara e objetiva, preferencialmente no website do controlador.
A LGPD não define o nível de experiência e formação do encarregado de dados, porém, considerando o papel que ele terá na organização, é essencial que seus conhecimentos sejam adequados a sensibilidade, complexidade e quantidade de dados tratados pelo controlador. Sendo assim, é recomendável que o encarregado tenha conhecimento sobre Privacidade e Proteção de Dados, Segurança da Informação, governança corporativa, além de conhecimento sobre a legislação e regulamentos aplicáveis à organização onde desempenha suas atividades.
Além do mais, ao buscar um encarregado, é importante que a organização avalie o candidato também por sua integridade e ética profissional. Já que, se contratado, esse profissional estará diretamente ligado à área de compliance da companhia.
A quantidade de horas de trabalho do encarregado dependerá do porte da empresa e do volume de dados a serem tratados. Em muitos casos, não há necessidade de ter um colaborador dedicado, exclusivamente, para exercer essa função. No entanto, é importante salientar que não pode haver conflito de interesse das funções do encarregado com outras funções dentro da empresa.
Embora o encarregado não tenha poder decisório, suas recomendações terão impacto nas deliberações referentes à dados pessoais, portanto, é essencial que ele haja com autonomia suficiente para atuar de forma independente e isenta. O controlador não pode exercer poder sobre os atos realizados pelo encarregado.
RESPONSABILIDADES DO ENCARREGADO DE DADOS
Em suas atividades, é importante que o encarregado se mantenha atualizado à legislação a qual a empresa deve estar aderente e às tecnologias utilizadas.
As atividades do encarregado consistem em:
Aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências;
Receber comunicações da autoridade nacional e adotar providências;
Orientar os funcionários e os contratados das empresas a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares;
Comunicar à ANPD violações ou vazamentos ocorridos no decorrer das atividades empresariais.
É papel do encarregado participar de todas as decisões referentes a dados pessoais ou qualquer ocorrência sobre estes na organização em que atua. Sendo, também, seu papel, auxiliar a empresa à manter os registros sobre o tratamento de dados pessoais organizado. Ele será o ponto focal de todas estas informações sobre dados pessoais da empresa que, adequadamente registradas e organizadas, poderão oferecer informações precisas ao controlador e à ANPD.
QUEM PODE SER O ENCARREGADO DE DADOS
Conforme dito acima, compete à ANPD estabelecer normas complementares sobre a definição e as atribuições do encarregado, por isso, ainda não há clareza dos parâmetros para nomeação do encarregado de dados. Contudo, com base na GDPR, podemos estabelecer algumas boas práticas para determinar quem pode assumir esta função.
O ponto principal é escolher um encarregado de dados que tenha independência para trabalhar e tomar decisões sem que ocorra conflito de interesses com outras atividades e cargos da empresa. A empresa pode indicar um funcionário próprio para ser o seu encarregado e, como não há obrigatoriedade de dedicação exclusiva, ele pode acumular outras funções. No entanto, estas funções não podem impactar seu poder de decisão sobre a finalidade e os meios de tratamento de dados pessoais.
Dois exemplos de conflito de interesse é a acumulação do Diretor de Marketing ou Diretor de Recursos Humanos com a função de encarregado de dados. O primeiro, possui o poder de definir planos de marketing e publicidade, incluindo quais os clientes, qual o método de comunicação e quais os detalhes pessoais a serem utilizados. Já, o segundo, possui o poder de definir ações com os dados dos colaboradores. Ou seja, suas prerrogativas funcionais sobre a utilização dos dados conflitam com a função de protetor de dados.
ENCARREGADO EXTERNO
Caso não haja um funcionário que reúna os conhecimentos necessários e/ou experiências para atuar como encarregado, a empresa pode optar por profissional externo.
Claro que a empresa pode preparar um colaborador para exercer esta função, porém, é necessário ponderar algumas questões para tomar esta decisão. Uma delas é o custo de formação de um profissional deste nível. É importante que o encarregado possua tanto competências técnicas, em leis, regulamentos, Segurança da Informação, citando algumas, como também, competências pessoais, ótima comunicação, trabalho cooperativo e visão sistêmica. Compor tudo isso em um funcionário, a depender do porte da empresa, pode ser oneroso. Além disso, sempre há o risco do funcionário deixar a empresa, levando com ele o conhecimento.
Deste modo, a opção de se contratar um encarregado de dados especializado poderá garantir à companhia um tratamento de dados pessoais mais profissional e isento de conflito de interesses.
Em resumo, os pontos principais para se analisar ao escolher o encarregado de dados são, conhecimentos técnicos em assuntos relacionados à proteção de dados e regulamentações setoriais da empresa; integridade e ética profissional; e, não possui outra função que possa gerar conflitos de interesse entre as finalidades e os meios de tratamento dos dados.
A Total Privacy possui consultores especializados em proteção de dados pessoais. Caso tenha interesse em contratar um encarregado de dados, envie um e-mail para contato@totalprivacy.com.br e agende uma conversa com um de nossos consultores.
Julio Cesar Segantini
Consultor de Privacidade e Proteção de Dados Pessoais da Total Privacy