Antes mesmo do início da sua vigência, a Lei Geral de Proteção de Dados – LGPD já despertava inúmeros debates em razão das profundas mudanças legais, procedimentais e culturais que ela apresenta às organizações e à sociedade em geral. Dentre as inovações, está a figura do Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”), ou Data Protection Officer – “DPO”, nomenclatura utilizada na Europa e que teve maior aceitação no Brasil.
De acordo com a LGPD, todas as organizações – até o momento, independentemente do porte – estão obrigadas a nomear um Encarregado pelo tratamento de dados pessoais para atender os titulares de dados, receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD, orientar os funcionários e contratados da organização e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Pela definição do artigo 5º, inciso VII, conforme alteração trazida pela Lei 13.853/2019, o Encarregado é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD. E da forma como ficou a redação da lei é possível ser pessoa física ou jurídica, interna ou externa à organização. Muitos acreditam que o DPO atuaria como uma espécie de ombudsman, que seria um indivíduo encarregado do estabelecimento de um canal de comunicação entre consumidores, empregados e diretores, mas muitas organizações, na prática, ultrapassam as definições previstas na LGPD e atribuem mais atividades ao DPO (Lima & Alves, 2021).
O artigo 41 da LGPD define que as organizações, desde a vigência da lei em 18 de setembro de 2020, tenham, de preferência em seus sítios eletrônicos, a identidade e as informações de quem é este encarregado. Neste artigo abordaremos alguns pontos essenciais sobre esse profissional fundamental para a governança em privacidade, bem como as vantagens de se contratar um DPO interno ou um DPO as a Service (terceirizado), tendo em vista que a LGPD não limitou esse tipo de contratação ou o perfil desse profissional.
A NECESSIDADE DE UM DPO
Vigente desde 18 de setembro de 2020, a LGPD ainda representa muitos desafios para organizações no que tange à adequação e compliance (demonstrar a adequação e acompanhar a governança em privacidade). Há pontos que necessitam de regulamentação por parte da ANPD, gerando dúvidas quanto às medidas necessárias para o efetivo cumprimento da lei. Assim como previsto no General Data Protection Regulation – GDPR (regulamento europeu de proteção de dados pessoais), grande inspiração para a lei brasileira de proteção de dados pessoais, a LGPD prevê que as organizações, sejam elas controladoras ou operadoras, de natureza pública ou privada, contratem encarregado de proteção de dados pessoais (DPO), conforme previsão do artigo 5º, inciso VIII. As atribuições do DPO vão muito além das previstas no §2º, do art. 41 da LGPD, sendo esse papel de “ponte de contato” entre a organização e o titular de dados, bem como também junto à Autoridade, é muito importante para a efetividade da LGPD, uma vez que cabe ao DPO responder de forma satisfatória e clara ao titular sobre o tratamento dos seus dados pessoais.
A ANPD tem consultado a sociedade para melhor compreensão e orientação sobre a temática, sendo que ainda cabe aguardar se haverá alguma flexibilidade pela ANPD quanto à indicação de DPO pelas pequenas e médias e empresas, como previsto no art. 55-J, inciso XVIII da LGPD. Enquanto não há essa flexibilidade, seja para alguns modelos de negócios, porte empresarial, faturamento, volumetria dos dados, todo tipo de organização precisa nomear um DPO. Trata-se de cumprimento de obrigação legal, da qual as organizações não podem se furtar, sob pena de estarem em desconformidade com a nova legislação.
Artigos elaborador por:
Patrícia Peck
Influenciadora best-seller em Direito Digital, acadêmica, advogada, consultora e pioneira em privacidade de dados no Brasil. Membro de Honra da ANPPD e Presidente da Comissão Especial de Privacidade e Proteção de Dados da OAB SP.
Adrianne Lima
Advogada sênior. Mestre em Administração e Desenvolvimento de Negócios pela Universidade Presbiteriana Mackenzie. Lead Implementer ISO/IEC 27701 (Gestão da Privacidade. Professora universitária em cursos de pós-graduação em Compliance Digital e Proteção de Dados. Diretora do Comitê Jurídico da Associação Nacional de Profissionais de Privacidade de Dados-ANPPD. Coautora do livro “Encarregados – Data Protection Officer (DPO)”.
Cinthia Tufaile
Formada em Direito pela Puc-Campinas. Mestre pela UnB – Universidade de Brasília. Membro do Comitê Jurídico da ANPPD. Membro da Comissão de Privacidade e Proteção de Dados da OAB/DF. Membro da ANADD. Pós-graduanda em Direito Digital e Proteção de Dados pela Ebradi e cursando MBA em Data Protection Officer pelo IESB.
Flávia Alcassa
Página 12 de 12 Advogada. Sócia-fundadora do escritório Alcassa & Pappert Advogados. Especializada em Direito Digital Corporativo. Membro do Comitê Jurídico da ANPPD® Associação Nacional dos Profissionais de Privacidade de Dados.
Umberto Correia
DPO, CEO da Portal do Treinamento, Especialista em Governança de TI e SI, professor universitário; 25+ anos de atuação em TI e SI, em grandes corporações brasileiras e multinacionais; 20+ anos de vivência acadêmica em universidades brasileiras de renome; Vice-presidente da ANPPD; Certificações: ITIL Expert e MP4, Cobit, PDPE, Lean, Cloud, Scrum Master, Product Owner, Green IT, Management 3.0.
Clique aqui e confira o material na íntegra.