Como falamos, no artigo “Entrada em vigor da LGPD: Os próximos passos da ANPD”, a Autoridade Nacional de Proteção de Dados Pessoais, dentro de seu planejamento estratégico de 2021 – 2023, delimitou como Objetivo Estratégico 1 o item “Elaborar guias e recomendações sobre Proteção de Dados”.
Para tanto, foi emitido o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, que já está em sua segunda versão (Abril/2022), trazendo diretrizes não-vinculantes aos agentes de tratamento, que já vimos em alguns artigos de nosso blog como “ANPD Próximos passos – Definição de Controlador e Operador” e “ANPD – Próximos passos: Definição de Controladoria Conjunta e Suboperador”.
No artigo de hoje, vamos explanar as considerações sobre o Encarregado de Dados, ou o DPO como é conhecido no dia-a-dia.
Quem é o Encarregado de Dados Pessoais?
O Encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, com a LGPD, fomentando e disseminando a cultura da proteção de dados pessoais na organização. Poderá ser tanto uma pessoa física ou uma pessoa jurídica, interno da organização, como no caso de um funcionário, ou externo, como em uma consultoria especializada. Em quaisquer das formas de nomeação do encarregado, é recomendado que ele seja indicado por ato formal, como um contrato de prestação de serviços, ou ato administrativo.
Segundo disposto no guia de agentes de tratamento, é uma boa prática que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.
Toda instituição deverá indicar um Encarregado de Dados?
Conforme disposto no artigo 41 da LGPD, todo controlador de dados deverá indicar um Encarregado. Ou seja, como regra geral, toda organização deverá indicar uma pessoa para assumir esse papel. É importante destacar que a ANPD poderá emitir atos normativos sobre hipóteses de dispensa de necessidade de indicação de DPO, como acontece no caso dos agentes de tratamento de pequeno porte.
O Encarregado de Dados poderá ter uma equipe multidisciplinar ou ser apoiado por uma consultoria externa?
A LGPD não proíbe que o encarregado de dados tenha apoio de uma equipe de privacidade. É, na verdade, considerada uma boa prática, uma vez que o Encarregado necessita de recursos adequados para que possa disseminar a cultura de privacidade em sua instituição. Tais recursos poderão se dar tanto em pessoas, internas ou externas, como em tecnologias.
Quais são as funções de um Encarregado?
O Encarregado de Dados, como dito, tem como função principal a conformidade de sua instituição com a LGPD, atuando com liberdade para realizar suas atribuições de forma assertiva. A LGPD traz alguns casos que exemplificam as atribuições do encarregado:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da ANPD e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Caso você seja um Encarregado de Dados ou uma organização buscando apoio para a criação de seu programa de conformidade, conte com a Tripla para que possamos, em conjunto, implementar um sistema de gestão de privacidade. Para saber mais sobre isso, recomendamos a leitura do artigo “O que é consultoria em proteção de dados (LGPD) e como a Tripla pode te ajudar”.