A entrada em vigor da Lei Geral de Proteção de Dados (Lei 13.709/18 ou “LGPD”) trouxe diversos desafios para empresas que desejam operar de forma transparente e conforme as leis. Tópicos como mapeamento de dados, a criação de políticas internas e a nomeação de um Encarregado pelo tratamento de dados pessoais passaram a ocupar a agenda de diversas organizações.
A nomeação do Encarregado, em especial, ainda é um tópico controverso. Muitas organizações não sabem se precisam ou não nomear esse profissional, bem como quem pode ser nomeado. No presente artigo, falaremos um pouco sobre quem é esse profissional e qual é a importância dele em um contexto de conformidade com a LGPD. Vamos lá?
Afinal, o que faz o Encarregado pelo tratamento de dados pessoais?
A LGPD lista uma série de medidas que devem ser observadas por instituições que realizam o tratamento de dados pessoais. Uma delas é a nomeação de um Encarregado pelo Tratamento de Dados Pessoais (ou “Encarregado”), também chamado por muitas empresas de Data Protection Officer ou “DPO”.
De acordo com a LGPD, cabe ao ocupante do cargo de Encarregado atuar como canal de comunicação entre o agente de tratamento, ou seja, a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados ou “ANPD” (Art. 5º, VII, LGPD). O Encarregado é responsável, ainda, pela manutenção do programa de governança em proteção de dados da organização que o nomeou.
No exercício desta segunda função, o Encarregado deve atuar internamente, monitorando o cumprimento das normas de proteção de dados, promovendo treinamentos periódicos e participando do desenvolvimento de novas iniciativas de organização, para que estas incorporem, desde a sua concepção, medidas para assegurar o cumprimento à LGPD (Privacy by design).
Minha empresa deve nomear um Encarregado?
Em regra, todas as organizações que realizam tratamento de dados pessoais precisam de um Encarregado. Toda empresa, órgão público ou entidade do terceiro setor que usa informações sobre pessoas deve ter um Encarregado nomeado.
Somente agentes de tratamento classificados pela ANPD como de “pequeno porte” (Resolução CD/ANPD Nº 2) estão dispensados de nomear um Encarregado. Para se enquadrar nessa categoria, as entidades devem cumulativamente:
- ser uma microempresa, empresa de pequeno porte, startup, pessoa jurídica de direito privado sem fins lucrativos ou ente privado despersonalizado; e
- não realizar tratamentos de dados classificados pela ANPD como de alto risco.
Contudo, ainda que exista uma dispensa legal para os agentes de pequeno porte, não contar com o apoio de um profissional de proteção de dados pessoais pode ser uma escolha arriscada. Até mesmo verificar se uma entidade de fato não precisa de um Encarregado exige conhecimento técnico para entender se a empresa se enquadra como “agente de pequeno porte” e qual o contexto de tratamentos de dados realizados por ela.
Além disso, mesmo no caso dos agentes que de fato estão dispensados, a ausência de apoio nas atividades do dia a dia aumenta o risco de realização de tratamentos irregulares, o que, a longo prazo, pode atrair processos fiscalizatórios, multas e danos de imagem.
Quem pode ser nomeado como Encarregado?
Agora que já falamos um pouco sobre a importância do Encarregado, vamos analisar quem deve ocupar esse cargo. A LGPD não exige uma formação específica para fins de ocupação do cargo de Encarregado. Em regra, qualquer pessoa, física ou jurídica, pode ser nomeada como Encarregado. Contudo, a realização de uma contratação mal pensada pode ser um “tiro no pé”.
É muito comum empresas nomearem como Encarregados profissionais que já ocupam outros cargos ou não possuem formação em proteção de dados. Nessas situações, mesmo que, formalmente, a empresa cumpra o requisito legal, na prática, os riscos são iguais ou até maiores do que os de não nomeação.
Isso ocorre porque, ao nomear pessoas que já acumulam muitas funções, as empresas perdem a oportunidade de ter um programa de governança em proteção de dados efetivo, mantido e atualizado por uma equipe qualificada. Antes de nomear um Encarregado, é muito importante refletir sobre a disponibilidade do nomeado para efetivamente atuar como guardiões da proteção de dados na organização.
Além disso, ao nomear um Encarregado que não domina as leis de proteção de dados, aumenta-se o risco de condução de processos de forma inadequada, o que pode ocasionar tratamento irregulares e até mesmo aplicação de penalidades pela ANPD.
Pensando em ajudar as empresas a nomearem um Encarregado de forma adequada, o Grupo de Trabalho do Artigo 29 (ou “WP29”), órgão consultivo vinculado à Autoridade Nacional de Proteção de Dados Europeia, elaborou um guia [1] com pontos a serem considerados no ato de nomeação do Encarregado. Em resumo, é recomendável que o Encarregado possua domínio sobre as legislações de proteção de dados aplicáveis e autonomia para atuar no âmbito da instituição.
E quando a contratação de um profissional interno não cabe no contexto da empresa?
Sabemos que nem todas as empresas possuem fluxo de caixa ou volume de demandas que justifique a contratação de um profissional interno apenas para lidar com assuntos de proteção de dados pessoais. Pensando nisso, escritórios de advocacia e outros tipos de prestadores desenvolveram uma modalidade de serviço conhecida como “DPO as A Service“.
Nessa modalidade, em vez de contratar um profissional interno, a empresa nomeia, como Encarregado, um prestador de serviços terceirizado. Esse prestador centralizará todas as funções do Encarregado e as executará não como um membro interno, mas sim como um fornecedor terceirizado.
Essa configuração pode ser um excelente caminho para empresas que desejam estar adequadas à LGPD sem, para tanto, precisar internalizar um profissional de proteção de dados. O serviço de DPO as a Service pode ser útil, ainda, para empresas que desejam nomear um Encarregado interno que não possui formação em proteção de dados, hipótese na qual o prestador contratado apoiará o Encarregado interno nas atividades cotidianas.
Independente da modalidade escolhida, é inquestionável que o Encarregado pelo tratamento de dados pessoais desempenha um papel essencial na conformidade com a LGPD. Nesse contexto, a escolha criteriosa do profissional ou a adoção do serviço “DPO as a Service” são abordagens valiosas para assegurar o cumprimento eficaz das normas de proteção de dados.
Referências:
[1] Working Party 29. Orientações sobre os Encarregados da proteção de dados (EDP). Disponível em: http://portaldaprivacidade.com.br/wp-content/uploads/2018/01/Data-Protection-Officer-WP-243.pdf. Acesso em 30/08/2023.
