A novidade da LGPD está por conta da inclusão do cargo encarregado de dados pessoais na CBO - classificação brasileira de ocupações na tabela de 2022. A profissão de encarregado de dados pessoais ou DPO - data protection officer não é somente uma profissão nova como também se destaca como uma das mais promissoras do momento.
Desta forma, vamos aproveitar o gatilho trazido pelo Ministério do Trabalho do reconhecimento da profissão e entender quem pode ser DPO, atuação e quais as suas responsabilidades frente LGPD e nas empresas.
Primeiramente, quem é o encarregado pelo tratamento dos dados pessoais trazidos no art. 5, VIII da LGPD:
Art. 5º para os fins desta lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD - Autoridade Nacional de Proteção de Dados.
De momento, vale destacar que o encarregado pode ser pessoa física ou jurídica devendo ser uma obrigação de indicação pelo controlador e operador tendo a sua identidade e informações de contato divulgadas de forma clara e objetiva, salvo que a ANPD disponha sobre dispensa de obrigatoriedade conforme art. 41 da LGPD.
Resumindo até aqui, a nomeação do encarregado é dever legal exigido por lei, podendo ser ele pessoa física ou jurídica cujo seu papel principal é funcionar como elo de comunicação entre a organização, ANPD e titulares dos dados.
Sendo assim, quais os perfis desejáveis para essa nova função tão importante? Podem os donos ou sócios ser DPO das próprias empresas?
Vamos por parte. A LGPD não traz como vimos, qualquer requisito para formação ou capacitação do encarregado, assim, qualquer profissional de qualquer área pode assumir essa nova função nas empresas. No entanto, devido às atribuições e responsabilidade dos encarregados faz-se necessário que esse profissional tenha algumas habilidades relevantes para o exercício desta função.
Para a função destaca-se a necessidade de conhecimento e domínio da Lei Geral de Proteção de Dados, capacidade de emitir opiniões e orientações sobre o assunto, auxiliar a empresa a criar e manter rotinas de processos de privacidade, entender sobre os processos, fluxo e ciclo de vidas dos dados pessoais dentro da organização, ser familiarizado com legislações e princípios jurídicos, familiaridade com princípios e normas de segurança da informação, capacidade de identificar e propor medidas para mitigar riscos em privacidade, dentre outros.
Agora, pode os donos ou sócios ser DPO das próprias empresas? Embora não haja qualquer impedimento legal, a nomeação da alta direção para a função em tela traz um risco elevado devido à complexidade do tema, dedicação, sem contar é claro, com a possibilidade de conflito de interesse e necessidade de autonomia que dispõe a função de encarregado.
Veja bem, se a empresa possui uma atividade relevante no tratamento de dados pessoais, têm grandes responsabilidades e riscos envolvidos... Como que os donos/sócios que estão de "cabelo em pé" com tantas atividades, terão tempo hábil para capacitação e atuação como DPO?
No que tange às suas funções mínimas, é necessário recorrer às previstas no art. 41 § 2° da LGPD. Vejamos:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Na prática, podemos concluir que o encarregado assume funções que vão além das descritas acima uma vez que, exerce os requisitos de governança em privacidade e proteção de dados e gestão de riscos.
No entanto, é importante lembrar que, o encarregado de dados tem atribuiçãode emitir orientação quanto aos riscos, não cabendo a ele a tomada de decisões sobre os tratamentos dos dados pessoais realizados nas organizações.
Por fim, oportuna se faz necessário entender quais são as responsabilidades jurídicas dos encarregados de dados seja este interno (CLT) ou externo (as a service). A LGPD é clara quanto a responsabilidades administrativas e cíveis para os agentes de tratamento, não trazendo argumentos jurídicos para o encarregado.
No entanto, tal questão é muito clara nas diretrizes do European Data Protection Board sobre a responsabilização da não conformidade da organização. No qual o DPO não é pessoalmente responsável pela não conformidade com requisitos de proteção de dados.
Sendo assim, entendo que a responsabilização do encarregado deve seguir as demais leis correlatas de qualquer outro profissional em relação a sua atuação sendo este celetista ou prestador de serviço.
Neste contexto, desejo as boas-vindas ao encarregado de dados pessoais na CBO - Classificação Brasileira de Ocupações e não esqueça atuação do DPO envolve um trabalho multidisciplinar, e ele não é o super-herói da privacidade e proteção de dados.
___
Referências:
https://pacotelgpd.com.br/f/quem-pode-ser-dpo-na-lgpd