Migalhas de Peso

Quem pode ser DPO na LGPD e suas responsabilidades

Reflexões sobre as definições, quem pode ser e responsabilidades jurídicas do encarregado de DPO.

21/3/2022

(Imagem: Artes Migalhas)

A novidade da LGPD está por conta da inclusão do cargo encarregado de dados pessoais na CBO - classificação brasileira de ocupações na tabela de 2022. A profissão de encarregado de dados pessoais ou DPO - data protection officer não é somente uma profissão nova como também se destaca como uma das mais promissoras do momento.

Desta forma, vamos aproveitar o gatilho trazido pelo Ministério do Trabalho do reconhecimento da profissão e entender quem pode ser DPO, atuação e quais as suas responsabilidades frente LGPD e nas empresas.

Primeiramente, quem é o encarregado pelo tratamento dos dados pessoais trazidos no art. 5, VIII da LGPD:

Art. 5º para os fins desta lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD - Autoridade Nacional de Proteção de Dados.

De momento, vale destacar que o encarregado pode ser pessoa física ou jurídica devendo ser uma obrigação de indicação pelo controlador e operador tendo a sua identidade e informações de contato divulgadas de forma clara e objetiva, salvo que a ANPD disponha sobre dispensa de obrigatoriedade conforme art. 41 da LGPD.

Resumindo até aqui, a nomeação do encarregado é dever legal exigido por lei, podendo ser ele pessoa física ou jurídica cujo seu papel principal é funcionar como elo de comunicação entre a organização, ANPD e titulares dos dados.

Sendo assim, quais os perfis desejáveis para essa nova função tão importante? Podem os donos ou sócios ser DPO das próprias empresas?

Vamos por parte. A LGPD não traz como vimos, qualquer requisito para formação ou capacitação do encarregado, assim, qualquer profissional de qualquer área pode assumir essa nova função nas empresas. No entanto, devido às atribuições e responsabilidade dos encarregados faz-se necessário que esse profissional tenha algumas habilidades relevantes para o exercício desta função.

Para a função destaca-se a necessidade de conhecimento e domínio da Lei Geral de Proteção de Dados, capacidade de emitir opiniões e orientações sobre o assunto, auxiliar a empresa a criar e manter rotinas de processos de privacidade, entender sobre os processos, fluxo e ciclo de vidas dos dados pessoais dentro da organização, ser familiarizado com legislações e princípios jurídicos, familiaridade com princípios e normas de segurança da informação, capacidade de identificar e propor medidas para mitigar riscos em privacidade, dentre outros.

Agora, pode os donos ou sócios ser DPO das próprias empresas? Embora não haja qualquer impedimento legal, a nomeação da alta direção para a função em tela traz um risco elevado devido à complexidade do tema, dedicação, sem contar é claro, com a possibilidade de conflito de interesse e necessidade de autonomia que dispõe a função de encarregado.

Veja bem, se a empresa possui uma atividade relevante no tratamento de dados pessoais, têm grandes responsabilidades e riscos envolvidos... Como que os donos/sócios que estão de "cabelo em pé" com tantas atividades, terão tempo hábil para capacitação e atuação como DPO? 

No que tange às suas funções mínimas, é necessário recorrer às previstas no art. 41 § 2° da LGPD. Vejamos:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Na prática, podemos concluir que o encarregado assume funções que vão além das descritas acima uma vez que, exerce os requisitos de governança em privacidade e proteção de dados e gestão de riscos.

No entanto, é importante lembrar que, o encarregado de dados tem atribuiçãode emitir orientação quanto aos riscos, não cabendo a ele a tomada de decisões sobre os tratamentos dos dados pessoais realizados nas organizações.

Por fim, oportuna se faz necessário entender quais são as responsabilidades jurídicas dos encarregados de dados seja este interno (CLT) ou externo (as a service). A LGPD é clara quanto a responsabilidades administrativas e cíveis para os agentes de tratamento, não trazendo argumentos jurídicos para o encarregado.

No entanto, tal questão é muito clara nas diretrizes do European Data Protection Board sobre a responsabilização da não conformidade da organização. No qual o DPO não é pessoalmente responsável pela não conformidade com requisitos de proteção de dados.

Sendo assim, entendo que a responsabilização do encarregado deve seguir as demais leis correlatas de qualquer outro profissional em relação a sua atuação sendo este celetista ou prestador de serviço.

Neste contexto, desejo as boas-vindas ao encarregado de dados pessoais na CBO - Classificação Brasileira de Ocupações e não esqueça atuação do DPO envolve um trabalho multidisciplinar, e ele não é o super-herói da privacidade e proteção de dados.

___

Referências:

https://pacotelgpd.com.br/f/quem-pode-ser-dpo-na-lgpd

Fabiola Grimaldi
Advogada empresarial com foco no digital e proteção de dados (LGPD). Co-fundadora do e-commerce PACOTE LGPD.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas de Peso

A visão sistêmica e a lei geral de proteção de dados

14/2/2022
Migalhas de Peso

Lei Geral de Proteção de Dados: do caos em 2021 à calmaria em 2022?

3/1/2022
Migalhas de Peso

Você está aderente à Lei Geral de Proteção de Dados, mas e o seu terceiro?

8/3/2021

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

Estabilidade dos servidores públicos: O que é e vai ou não acabar?

19/11/2024

O SCR - Sistema de Informações de Crédito e a negativação: Diferenciações fundamentais e repercussões no âmbito judicial

20/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024