Antes mesmo do início da sua vigência, a lei Geral de Proteção de Dados – LGPD já despertava inúmeros debates em razão das profundas mudanças legais, procedimentais e culturais que ela apresenta às organizações e à sociedade em geral.
Dentre as inovações, está a figura do Encarregado pelo Tratamento de Dados Pessoais “Encarregado”, ou Data Protection Officer – “DPO”, nomenclatura utilizada na Europa e que teve maior aceitação no Brasil.
De acordo com a LGPD, todas as organizações – até o momento, independentemente do porte – estão obrigadas a nomear um Encarregado pelo tratamento de dados pessoais para atender os titulares de dados, receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD, orientar os funcionários e contratados da organização e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Pela definição do artigo 5º, inciso VII, conforme alteração trazida pela lei 13.853/19, o Encarregado é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD. E da forma como ficou a redação da lei é possível ser pessoa física ou jurídica, interna ou externa à organização.
Muitos acreditam que o DPO atuaria como uma espécie de ombudsman, que seria um indivíduo encarregado do estabelecimento de um canal de comunicação entre consumidores, empregados e diretores, mas muitas organizações, na prática, ultrapassam as definições previstas na LGPD e atribuem mais atividades ao DPO (Lima & Alves, 2021).
O artigo 41 da LGPD define que as organizações, desde a vigência da lei em 18 de setembro de 2020, tenham, de preferência em seus sítios eletrônicos, a identidade e as informações de quem é este encarregado.
Neste artigo abordaremos alguns pontos essenciais sobre esse profissional fundamental para a governança em privacidade, bem como as vantagens de se contratar um DPO interno ou um DPO as a Service (terceirizado), tendo em vista que a LGPD não limitou esse tipo de contratação ou o perfil desse profissional.
A necessidade de um DPO
Vigente desde 18 de setembro de 2020, a LGPD ainda representa muitos desafios para organizações no que tange à adequação e compliance (demonstrar a adequação e acompanhar a governança em privacidade). Há pontos que necessitam de regulamentação por parte da ANPD, gerando dúvidas quanto às medidas necessárias para o efetivo cumprimento da lei.
Assim como previsto no General Data Protection Regulation – GDPR (regulamento europeu de proteção de dados pessoais), grande inspiração para a lei brasileira de proteção de dados pessoais, a LGPD prevê que as organizações, sejam elas controladoras ou operadoras, de natureza pública ou privada, contratem encarregado de proteção de dados pessoais (DPO), conforme previsão do artigo 5º, inciso VIII.
As atribuições do DPO vão muito além das previstas no §2º, do art. 41 da LGPD, sendo esse papel de “ponte de contato” entre a organização e o titular de dados, bem como também junto à Autoridade, é muito importante para a efetividade da LGPD, uma vez que cabe ao DPO responder de forma satisfatória e clara ao titular sobre o tratamento dos seus dados pessoais.
A ANPD tem consultado a sociedade para melhor compreensão e orientação sobre a temática, sendo que ainda cabe aguardar se haverá alguma flexibilidade pela ANPD quanto à indicação de DPO pelas pequenas e médias e empresas, como previsto no art. 55-J, inciso XVIII da LGPD.
Enquanto não há essa flexibilidade, seja para alguns modelos de negócios, porte empresarial, faturamento, volumetria dos dados, todo tipo de organização precisa nomear um DPO. Trata-se de cumprimento de obrigação legal, da qual as organizações não podem se furtar, sob pena de estarem em desconformidade com a nova legislação.
Artigo publicado originalmente no site Migalhas
Confira aqui o artigo na íntegra.