A Lei de Proteção de Dados (LGPD), com entrada em vigor prevista para maio de 2021, em seu esforço na regulamentação do tratamento de dados trouxe novo requisito: a indicação de encarregado de dados, também nomeado como Data Protection Officer (DPO). Esse especialista é encarregado da administração de todo o fluxo de informações em qualquer empresa, desde sua coleta até seu tratamento. Deve possuir autonomia para o exercício de função fiscalizatória interna, e servindo de elo de conexão entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD).
A nomeação de um DPO é disposição mandatória da LGPD a ser cumprida por qualquer controlador de dados pessoais e que somente poderá ser dispensada por meio de normas complementares da Autoridade Nacional de Proteção de Dados (ANDP), de acordo com a natureza e o porte da empresa e/ou o volume de dados processados. O surgimento da função de DPO para alguns especialistas era necessidade evidente que deveria ser suprida, já que as informações processadas pelos controladores e operadores se tornaram um ativo importante ao longo dos últimos anos.
Veja também: Blog Solere: A LGPD e a responsabilidade dos agentes com os dados pessoais
Hoje, à luz das disposições únicas da LGPD, a nomeação do encarregado de dados tornou-se obrigatória. Assim, qualquer órgão que atue no tratamento de dados pessoais – na forma do artigo 5º, inciso X – deve nomear um DPO, pessoa física ou jurídica, cuja identificação, por meio da divulgação dos dados de contato, deve ser feita publicamente pelo controlador.
Todavia, como quase tudo que vem sendo implementado por força da LGPD, o DPO é um novo conceito, o qual sequer tem uma formação ou abrangência específica de seu papel delimitadas. A despeito da importância do cargo, a LGPD não pontua taxativamente as credenciais do DPO tampouco os contornos de sua atuação. Ainda que soe pertinente que o encarregado de dados detenha conhecimento e intimidade com temas de proteção de dados, capacitando-o à resolução de questões atinentes à proteção de dados postuladas pelos titulares de dados e pela ANPD.
Veja também: Blog Solere: O que é um controlador de dados de acordo com a LGPD?
A capacidade de conjugar essa autonomia para a atuação enquanto encarregado de fiscalização interna com indivíduo que detém ampla compreensão acerca da estrutura técnica e organizacional da empresa processadora de dados são um diferencial para o desempenho da função de DPO. A habilidade no gerenciamento de funcionários, criando uma camada de interação entre o staff, em todos os níveis e hierarquias, e a ANPD são bastante interessantes. Especialmente quando observado o texto da LGPD e as funções que estipula à figura do DPO.
A Lei de Proteção de dados prevê que é atribuição do encarregado de dados a supervisão, administração e formulação de auditorias como mecanismos que viabilizem o correto tratamento de dados e informações integrados à cadeia de processamento da empresa. Bem como a criação de políticas internas, em atenção às previsões da LGPD, a fim de orientar e capacitar o corpo de empregados, bem como de fiscalizar o seu cumprimento. Por fim, a absoluta disponibilidade para comunicação e recepção de reclamações relativas aos dados processados. Sendo elas advindas dos titulares ou da ANPD, a fim de que sejam prestados esclarecimentos e adotadas providências.
Veja também: Blog Solere: A LGPD e o tratamento de dados sensíveis
Em matéria de responsabilidade, a LGPD não traz aspectos expressos quanto à figura do DPO. O encarregado de dados não está incumbido da tomada de decisão quanto ao tratamento do dado pessoal, tampouco ao seu tratamento. A ideia da criação de sua figura é para que atue na prevenção, estímulo e cumprimento dos provisionamentos da LGPD, viabilizando o cumprimento por parte do controlador das exigências que a Lei de Proteção de Dados estabelece. Se a atuação do DPO estiver de acordo com as orientações do controlador e em observância às normas da LGPD sua responsabilização, por danos causados ao titular do dado, ao controlador e/ou a terceiros, é improvável.
O DPO ou encarregado de dados é a função do futuro e já indispensável. Em combinação ao que pretende a LGPD, é mais um ator envolvido para evitar possíveis incidentes que controladores e operadores de dados pessoais poderão enfrentar num futuro próximo. O DPO tem por missão diminuir os impactos negativos aos titulares e viabilizar os benefícios aos atores envolvidos na relação ensejada pelo tratamento de dados.
Em conclusão, este texto procura tratar sobre o que é um Data Protection Officer (DPO) e qual a sua função dentro do contexto da LGPD. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: Pexels