Não tem como falar de LGPD (Lei Geral de Proteção de Dados) sem abordar essa temática tão importante que é a nomeação do DPO (do inglês Data Protection Officer), também conhecido como Encarregado de Dados.
Antecipadamente, é importante especificar três protagonistas mencionadas na LGPD: controlador, operador e o encarregado.
Controlador
O controlador é responsável por determinar como deve ser o tratamento de dados, ou seja, toda operação realizada com dados pessoais, como as que se referem a coleta, recepção, utilização, acesso, arquivamento, armazenamento, eliminação, etc. Podendo ser pessoa física ou jurídica, o controlador é quem dita as ordens sobre o que deve ser feito, como, quando e o porquê.
Operador
Já o operador, de maneira direta, é a pessoa encarregada por executar as orientações em nome do controlador.
Encarregado
Ainda, a LGPD fala sobre o Encarregado, a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), órgão de Estado com a missão de promover a cultura de proteção de dados pessoais no país.
Vale a pena trazer para discussão duas das principais dúvidas sobre o Encarregado. A primeira sobre a obrigatoriedade de nomear um encarregado e a segunda sobre a necessidade de possuir vínculo empregatício com o controlador para exercer a função de Encarregado.
Quanto a primeira questão, a despeito da expressa previsão no art. 41 da Lei nº 13.709/2018, a Resolução CD/ANPD nº 2, de 27 janeiro de 2022, trouxe hipótese de dispensa da necessidade de indicação do encarregado para micro e pequenas empresas, startups, pessoas jurídicas sem fins lucrativos e pessoas naturais, mas continuam obrigados a garantir a comunicação com os titulares de dados pessoais por outro meio eficiente.
É importante se atentar ao fato de que a dispensa ou flexibilização das obrigações não desobriga os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, conforme consta na Resolução CD/ANPD nº 2, de 27 janeiro de 2022.
Dessa maneira, se você não se enquadra nas exceções previstas na supracitada Resolução, é fundamental que entenda como obrigatória a nomeação do encarregado de dados, da qual a identidade e informações de contato devem ser divulgadas publicamente, de forma clara e objetiva, de preferência no site do controlador.
Não há dúvidas sobre a relevância do papel que o Encarregado de Dados tem na efetivação das novas regras e direitos trazidos pela LGPD. É fundamental que ele ostente qualificação mínima para atender às atribuições legais.
Quanto ao vínculo que o encarregado deve ter com o controlador, a Lei não exige vínculo empregatício, ou seja, para desempenhar a função pode ser nomeado tanto algum empregado, quanto alguém externo à empresa, de natureza física ou jurídica.
No entanto, como a atividade foi inscrita na Classificação Brasileira de Ocupações (CBO) pelo Ministério do Trabalho (MTE) recentemente, caso a empresa opte por nomear como encarregado alguém do seu quadro de empregados, é importante atualizar a CTPS do empregado.
Por fim, para além da relevância do Encarregado de Dados, mais da metade das empresas brasileiras já pode ser penalizada pela falta de nomeação do encarregado.
Em todo caso, o descumprimento da Lei pode gerar penalidades gravíssimas. É recomendado para a adequação empresarial uma assessoria jurídica especializada, em particular porque, por cautela, é necessário uma análise prévia de eventual cabimento de flexibilização dos dispositivos legais (as exceções), para que, depois, seja possível a construção de um projeto de implementação da LGPD realmente adaptado ao seu modelo de negócio.
- Fonte: LGPDBrasil.com.br
- Imagem: Freepik
- 01 de dezembro de 2022
