A Autoridade Nacional de Proteção de Dados publicou, no início de junho de 2021, o “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.

O documento é de suma importância para esclarecer as dúvidas quanto aos conceitos e aspectos relacionados aos agentes de tratamento da LGPD, quais sejam, o controlador, o operador e o encarregado de dados pessoais.

Nos termos da Lei Geral de Proteção de Dados a definição legal do controlador encontra-se em seu art. 5º, VI que define o Controlador como a Pessoa Natural ou jurídica, de direito público ou privado, a quem competem decisões referentes ao tratamento de dados pessoais.

Entre as principais funções do controlador temos o relatório de impacto à proteção de dados pessoais (art. 38), comprovar que o consentimento obtido do titular atende às exigências legais (art.8º, §2º) e comunicar à Autoridade Nacional de Proteção de Dados a ocorrência de incidentes de segurança.

Além disso, deve o Controlador indicar um encarregado de tratamento de dados pessoais. O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD.

Ao contrário das legislações estrangeiras, a legislação brasileira não cuidou de determinar em qual circunstância a organização deverá indicar um DPO, assim, devemos presumir, como regra geral, que toda organização precisará indicar uma pessoa para assumir esse papel.

Nada impede que futuramente a ANPD regule normativas futuras para dispensar a necessidade de indicação do encarregado, a depender do porte e natureza da empresa.

A LGPD não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo.

Contudo, adotando as boas práticas da Governança Corporativa, orienta-se que o encarregado pode ser tanto um funcionário da instituição, quanto um agente externo, de natureza física ou jurídica.

O encarregado deve ser indicado por um ato formal, como um contrato de prestação de serviço ou por ato administrativo.

Não há requisitos técnicos específicos para exercer a função de DPO, mas se orienta que o colaborador tenha conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.

Importante destacar que a LGPD não proíbe que o encarregado seja apoiado por uma equipe de proteção de dados, pelo contrário, considerando as normas de governança, é importante que o encarregado tenha recursos adequados para realizar suas atividades, o que pode incluir recursos humanos.

Entre as principais funções do encarregado temos as seguintes atribuições:

1. a) Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
2. b) Receber comunicações da Autoridade Nacional de Proteção de Dados
3. c) Orientar funcionários e contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
4. d) Executar as demais atribuições determinadas pelo controlador ou estabelecidas por normas complementares.

Feita essa escolha o contato do DPO deve ser disponibilizado pela empresa aos Titulares de Dados Pessoais e não há necessidade, nesse primeiro momento, de informar à Autoridade Nacional de Proteção de Dados.

A indicação de um DPO é um passo fundamental para a etapa de adequação à LGPD, devendo a pessoa jurídica controladora buscar, desde já, o profissional ou empresa responsável por essa importante tarefa em razão da proximidade de vigência das sanções administrativas.

Por Ronald Feitosa – Sócio-Diretor IGSA, Advogado e DPO com certificação EXIN – Privacy and Data Protection Foundation e Privacy and Data Protection Practitioner.

Por: Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, .