Tudo o que você precisa saber sobre a função de Encarregado ou DPO (Data Protection Officer)

Tempo de leitura: 7 minutos

Com a chegada da Lei Geral de Proteção de Dados brasileira  (Lei Nº 13.709/18), que entrará em vigor em 2020, todas as empresas que fazem coleta, armazenamento, classificação, utilização ou qualquer tipo de tratamento de dados pessoais, precisarão se adaptar.

Dentre as novas imposições legais previstas na Lei Geral de Proteção de Dados (LGPD), está a criação da figura do encarregado ou DPO (Data Protection Officer), que desperta dúvidas entre empreendedores, gestores, profissionais do direito e da tecnologia da informação.

De forma descomplicada, abordaremos alguns dos pontos essenciais para que você entenda  essa nova função, que veio como uma imposição legal relevante em uma economia que cada vez mais é movida a partir de dados.

O que é a figura do encarregado (ou DPO)?

O encarregado, também conhecido como DPO é a pessoa responsável por auxiliar as empresas que fazem tratamento de dados pessoais, no cumprimento de suas obrigações legais, de modo a ser uma ponte  entre estes, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Nossa Lei Geral de Proteção de Dados (LGPD), estipula que a identidade e as informações de contato do encarregado (DPO) deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site de quem controla os dados pessoais, conforme descrito no artigo 41, § 1º.

Isto significa que todos os e-commerces, startups ou qualquer empresa que possua um website que colete dados pessoais dos consumidores deverão indicar explicitamente no website quem será o encarregado (DPO) da empresa, uma verdadeira inovação no cenário nacional. 

Quem pode ser encarregado (DPO)?

Após as alterações introduzidas pela MP n° 869/188, convertida em Lei 13.853/19, o encarregado não precisa mais ser uma pessoa natural, abrindo espaço para a possibilidade de indicação de pessoas jurídicas, ou comitês, ou grupos de trabalho, que podem exercer tais funções. Assim, atualmente é possível que o encarregado (DPO) seja um empregado da empresa (pessoa natural) ou um terceiro prestador de serviços (pessoa física ou jurídica).

Além disso, a LGDP em sua redação mais recente, não traz exigências quanto à qualificação profissional do encarregado. No entanto, dentre outras habilidades necessárias para o adequado desempenho da função é importante o domínio da LGPD, de gestão de segurança da informação, compliance e de outras normas de proteção de dados estrangeiras como a Regulamentação Geral de Proteção de Dados da União Europeia (GDPR).

Quem precisa ter um encarregado ?

Diferente do que previa a versão inicial da LGPD, o conceito de ‘’encarregado’’ trazido pelo atual Artigo 5º, inciso VIII, dispõe que tal função deve existir não apenas para aquelas pessoas (jurídicas ou físicas) que tomam decisões referentes ao tratamento de dados pessoais (controladoras), mas também para aquelas que realizam esse tratamento a seu mando (operadoras). Contudo, a versão final da referida lei traz um conflito entre a definição do artigo mencionado acima (que inclui a figura do operador) e regra do artigo 41, que, ao disciplinar a função do DPO, apenas faz referência aos controladores de dados.

As empresas controladoras dos dados pessoais, portanto, são aquelas que determinam como será realizada a coleta, armazenamento e demais formas de tratamento dos dados pessoais. Por exemplo, uma startup X que dispõe de website ou aplicativo que exige cadastro obrigatório de usuário pode ser identificada como controladora dos dados pessoais.

Sob diferente perspectiva estão as operadoras de dados pessoais, empresas que realizarão o tratamento de dados pessoais coletados por outra empresa. Por exemplo, uma startup Y que, em virtude de contrato celebrado com a startup X, utiliza os dados de clientes desta para direcionamento de anúncios publicitários da startup X.

Sob uma interpretação mais prudente do conflito mencionado, é razoável que empresas na posição de operadoras de dados também se preocupem com a nomeação de um encarregado. Isso ocorre tendo em vista que, atualmente, é bastante comum que empresas que em princípio atuariam somente como operadoras durante suas atividades, envolvam algum tipo de tratamento de dados pessoais, exercendo assim, o papel de controladoras, o que traz a necessidade de indicação de um DPO.

É importante destacar, que o conceito de tratamento trazido pela LGPD é bastante amplo, englobando muitas atividades comuns no dia-a-dia empresarial, sobretudo de empresas com modelos de negócios inovadores. No artigo 5º, inciso X estipula-se que para os fins de tal lei considera-se:

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; 

Portanto, em um primeiro momento, pelo menos até que a Autoridade Nacional de Proteção de Dados (ANPD) regulamente as situações de exceção, todas as empresas que realizam alguma operação, que envolva o tratamento de dados pessoais, ressalvadas as hipóteses do artigo 4º da LGPD, precisam indicar um encarregado.

Quais são as funções do encarregado, segundo a LGPD? 

A LGPD, traz em seu artigo 41, §2º, uma lista não fechada, de funções do encarregado, quais sejam:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Em resumo: o encarregado (DPO) será o profissional responsável por implementar, fiscalizar e reportar às autoridades quaisquer atividades relativas ao tratamento de dados pessoais realizadas por operadores e/ou controladores. 

Como se dará a responsabilização do encarregado em caso de algum danos?

A responsabilização por danos causados através do exercício de atividade de tratamento de dados pessoais, em regra, recai sobre os controladores ou operadores. Ou seja, se uma empresa por exemplo, ao realizar algum tipo de tratamento de dados pessoais, causar algum dano (seja a consumidores, funcionários, fornecedores ou quaisquer outras pessoas naturais), esteja ela na posição de controladora ou de operadora, poderá ser responsabilizada por reparar este dano.

Todavia, existe a possibilidade de aquele que reparar o dano ao titular do dado pessoal tenha o direito de exigir sua compensação contra os demais responsáveis, na medida de sua participação no evento danoso. Além disso, se o dano for decorrente de culpa exclusiva de um terceiro, a empresa controladora ou operadora, não será responsabilizada.

Assim, um encarregado (ou DPO), seja ele empregado ou prestador de serviços contratado, que tenha efetivamente contribuído para o dano causado, pode vir a ser responsabilizado, a depender de seu grau de participação no evento, bem como da extensão das obrigações assumidas contratualmente, com a empresa empregadora ou contratante.

Dessa forma, torna-se recomendável uma assessoria jurídica especializada, de maneira a balancear da melhor forma a parcela de responsabilidade de cada envolvido e evitar incidentes e violações à proteção de dados pessoais, os quais podem custar muito caro para todas as partes envolvidas.

ANPD e a regulamentação complementar sobre o encarregado.

Por fim, é importante ressaltar que a recém criada Autoridade Nacional de Proteção de Dados (ANPD) poderá estabelecer regras complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Portanto, um acompanhamento constante, com uma assessoria jurídica de confiança é essencial para que as operações de que envolvam o tratamento de dados pessoais, estejam sempre de acordo com as normas  pertinentes ao tema.

2 Comentários

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *