ATUALIZADO! O que você precisa saber sobre Função de Encarregado ou DPO

Tempo de leitura: 8 minutos

Esta é uma atualização do artigo ‘’Tudo o que você precisa saber sobre a função de Encarregado ou DPO (Data Protection Officer)’’, postado em 27/11/2019. 

Com a chegada da Lei Geral de Proteção de Dados brasileira  (Lei Nº 13.709/2018), que entrará em vigor nos próximos dias (ainda em setembro de 2020), todas as empresas que fazem coleta, armazenamento, classificação, utilização ou qualquer tipo de tratamento de dados pessoais, precisarão se adaptar.

Dentre as novas imposições legais previstas na Lei Geral de Proteção de Dados (LGPD), está a criação da figura do encarregado  de proteção de dados pessoais ou Data Protection Officer (DPO), que desperta dúvidas entre empreendedores, gestores, profissionais do direito e da tecnologia da informação.

De forma descomplicada, abordaremos alguns dos pontos essenciais para que você entenda essa nova função, que veio como uma imposição legal relevante, no contexto de uma economia que cada vez mais é movida a partir de dados.

O que é a figura do encarregado de proteção de dados (ou DPO)?

O encarregado de proteção de dados, também conhecido como DPO, é a pessoa responsável por auxiliar as empresas que fazem tratamento de dados pessoais em relação ao cumprimento de suas obrigações legais referentes à privacidade. Assim, o DPO deve atuar como uma ponte entre as empresas, os titulares dos dados (pessoas físicas) e a Autoridade Nacional de Proteção de Dados (ANPD).

Nossa Lei Geral de Proteção de Dados (LGPD) estipula que a identidade (nome) e as informações de contato do DPO deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site de quem controla os dados pessoais, conforme descrito no artigo 41, § 1º.

Isto significa que todos os e-commerces, startups ou qualquer empresa que possua um website e colete dados pessoais dos consumidores (ainda que a coleta não seja feita através do website), deverão indicar explicitamente no website quem será o encarregado (DPO) da empresa e as informações de contato deste profissional, uma verdadeira inovação no cenário nacional.

Quem pode ser encarregado (DPO)?

Após as alterações introduzidas pela MP n° 869/188, convertida em Lei 13.853/19, o encarregado não precisa mais ser uma pessoa natural, abrindo espaço para a possibilidade de indicação de pessoas jurídicas, comitês ou grupos de trabalho, que podem exercer tais funções. Assim, atualmente é possível que o encarregado (DPO) seja um empregado da empresa (pessoa natural) ou um terceiro prestador de serviços (pessoa física ou jurídica).

Além disso, a LGPD em sua redação mais recente, não traz exigências quanto à qualificação profissional do encarregado. No entanto, dentre outras habilidades necessárias para o adequado desempenho da função, será crucial o domínio da LGPD, boas práticas de mercado, conhecimentos de Direito Digital, gestão de segurança da informação, compliancee de outras normas de proteção de dados estrangeiras que possam ser aplicáveis àquela empresa, como o Regulamento Geral de Proteção de Dados da União Europeia (‘’GDPR’’ no acrônimo anglo-saxão).

Quem precisa ter um DPO?

Diferente do que previa a versão inicial da LGPD, o conceito de ‘’encarregado de proteção de dados’’ trazido pelo atual Artigo 5º, inciso VIII, dispõe que tal função deve existir não apenas para aquelas pessoas (jurídicas ou físicas) que tomam decisões referentes ao tratamento de dados pessoais (controladoras), mas também para aquelas que realizam esse tratamento a seu mando (operadoras). Contudo, a versão final da referida lei traz um conflito entre a definição do artigo mencionado acima (que inclui a figura do operador) e regra do artigo 41, que, ao disciplinar a função do DPO, apenas faz referência aos controladores de dados.

As empresas controladoras dos dados pessoais, portanto, são aquelas que determinam como será realizada a coleta, armazenamento e demais formas de tratamento dos dados pessoais.

Por exemplo, uma startup X que dispõe de website ou aplicativo que exige cadastro obrigatório de usuário pode ser identificada como controladora dos dados pessoais.

Sob diferente perspectiva estão os operadores de dados pessoais, empresas que realizarão o tratamento de dados pessoais coletados por outra empresa.

Por exemplo, uma startup Y que, em virtude de contrato celebrado com a startup X, utiliza os dados de clientes desta para direcionamento de anúncios publicitários da startup X.

Sob uma interpretação mais prudente do conflito mencionado, é razoável que empresas na posição de operadores de dados também se preocupem com a nomeação de um DPO. Isso ocorre tendo em vista que, atualmente, é bastante comum que empresas que, em princípio, atuariam somente como operadores durante suas atividades, envolvam algum tipo de tratamento adicional de dados pessoais, exercendo assim, o papel de co-controladores, o que traria a necessidade de indicação de um DPO.

É importante destacar, que o conceito de tratamento trazido pela LGPD é bastante amplo, englobando muitas atividades comuns no dia-a-dia empresarial, sobretudo de empresas com modelos de negócios inovadores. No artigo 5º, inciso X estipula-se que para os fins de tal lei considera-se:

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; 

Portanto, em um primeiro momento, pelo menos até que a Autoridade Nacional de Proteção de Dados (ANPD) regulamente as situações de exceção, todas as empresas que realizam alguma operação que envolva o tratamento de dados pessoais, ressalvadas as hipóteses do artigo 4º da LGPD, precisam indicar um DPO.

Quais são as funções do encarregado, segundo a LGPD? 

A LGPD, traz em seu artigo 41, §2º, uma lista não fechada, de funções do encarregado, quais sejam:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Em resumo: o DPO será o profissional responsável por implementar, fiscalizar e reportar às autoridades quaisquer atividades relativas ao tratamento de dados pessoais realizadas por operadores e/ou controladores.

Como se dará a responsabilização do encarregado em caso de algum dano?

A responsabilização por danos causados através do exercício de atividade de tratamento de dados pessoais, em regra, recai sobre os controladores ou operadores. Ou seja, se uma empresa por exemplo, ao realizar algum tipo de tratamento de dados pessoais, causar algum dano (seja a consumidores, funcionários, fornecedores ou quaisquer outras pessoas naturais), esteja ela na posição de controlador ou de operador, poderá ser responsabilizada por reparar este dano.

Todavia, existe a possibilidade de aquele que reparar o dano ao titular do dado pessoal tenha o direito de exigir sua compensação contra os demais responsáveis, na medida de sua participação no evento danoso. Além disso, se o dano for decorrente de culpa exclusiva de um terceiro, a empresa controladora ou operadora, não será responsabilizada.

Assim, um encarregado (ou DPO), seja ele empregado ou prestador de serviços contratado, que tenha efetivamente contribuído para o dano causado, pode vir a ser responsabilizado, a depender de seu grau de participação no evento, bem como da extensão das obrigações assumidas contratualmente, com a empresa empregadora ou contratante. Neste ponto, o contrato entre a empresa e seu DPO deve ser bastante rigoroso e esmiuçar os limites da atuação do profissional.

Dessa forma, torna-se recomendável uma assessoria jurídica especializada, de maneira a balancear da melhor forma a parcela de responsabilidade de cada envolvido e evitar incidentes e violações à proteção de dados pessoais, os quais podem custar muito caro para todas as partes envolvidas.

ANPD e a regulamentação complementar sobre o encarregado.

Por fim, é importante ressaltar que a recém-criada Autoridade Nacional de Proteção de Dados (ANPD), instituída através do Decreto nº 10.474, de 26 de agosto de 2020, poderá estabelecer regras complementares sobre a definição e as atribuições do DPO, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Portanto, um acompanhamento constante, com uma assessoria jurídica de confiança é essencial para que as operações que envolvam o tratamento de dados pessoais estejam sempre de acordo com a LGPD e as outras normas aplicáveis.

2 Comentários

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *