Migalhas de Peso

A importância do encarregado pelo tratamento de dados pessoais para os agentes de pequeno porte

A dispensa do encarregado pelo tratamento de dados pessoais precisa ser avaliada com cautela, a fim de evitar prejuízos financeiros e reputacionais.

5/9/2022

A lei geral de proteção de dados pessoais (LGPD) – lei 13.709/18, em seu art. 41, § 2º, elenca as atividades do Encarregado, quais sejam:

  1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  2. Receber comunicações da autoridade nacional e adotar providências;
  3. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  4.  Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

No entanto, é sabido que na vida prática há muito mais do que isso. Tanto é, que o referido artigo, em seu § 3º, continua:

“A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.

O DPO precisa ter conhecimento sobre todos os fluxos que envolvem dados pessoais dentro da empresa. Participará ativamente de conscientização e será canal de comunicação, no entanto, conversar com as áreas e conhecer os processos é fundamental.

Dependendo da área de formação do DPO, ele pode, desde analisar e elaborar contratos, até fazer recomendações técnicas e específicas sobre infraestrutura, o que claramente pode interferir na continuidade dos negócios das organizações.

Dispõe o art. 11, da Resolução 2 da ANPD:

“Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.

§ 1º O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD”.

Em que pese o estabelecido na Resolução, há alguns detalhes que precisam ser considerados, antes de dispensar a nomeação de um DPO (quer seja interno ou externo):

O fato de disponibilizar um canal de atendimento aos titulares não facilita, por exemplo, o atendimento a um incidente de segurança, a estruturação de um ROPA, tampouco a validação de um contrato com uma empresa maior.

Podemos pensar: bom, para o ROPA, podemos utilizar uma ferramenta e, para os contratos, temos um advogado. Certo. No entanto, há dois problemas:

  1. A ferramenta não funciona sozinha;
  2. O advogado provavelmente não é especialista em proteção de dados pessoais. 

E é aí que mora o perigo. A empresa poder ter apenas 10 funcionários e seguir o segmento de telemedicina ou folha de pagamento, por exemplo. Como os tipos de dados pessoais que são tratados, realmente, faz sentido não ter um DPO?

Na prática, vemos muito clientes que, ainda que pequenos, tem relações comerciais com clientes grandes e, ter um profissional especialista em privacidade é uma medida preventiva, principalmente na hora de definir papéis e responsabilidades.

Ocorre que, no Brasil, já atingimos um certo nível de maturidade em privacidade em que passamos das discussões teóricas e precisamos falar dos problemas práticos. Ultrapassamos o ponto de falar de conceitos e precisamos aplicar a lei na vida real.

Então, ainda que o DPO tenha sido dispensado, nomeá-lo seria uma boa prática, pensando na segurança necessária para o tratamento de dados pessoais. Inclusive, a referida Resolução tem um artigo referente à boas práticas:

“Art. 12. Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.

Parágrafo único. O atendimento às recomendações e às boas práticas de prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias orientativos, será considerado como observância ao disposto no art. 52, §1º, VIII da LGPD”.

Salientamos que, esse artigo não é uma crítica à Resolução na ANPD, mas sim, uma forma de levantar alguns pontos práticos que encontramos em nosso dia a dia da área de privacidade.

O ponto positivo é:

Art. 16. A ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares.

Ou seja, ainda que haja a possibilidade da dispensa do DPO para empresas de pequeno porte, caso a ANPD entenda que há riscos, ela pode determinar que o agente de tratamento cumpra as obrigações flexibilizadas.

Claro que algumas organizações, por conta de tamanho e segmento, podem não necessitar de um DPO, no entanto, essa análise precisa ser feita com muita cautela. Mais do que pensar em gastos com um profissional de privacidade (e no nosso ponto de vista, segurança sempre será investimento, e nunca gasto), é fundamental pensar nos gastos pela ocorrência de um incidente, com possíveis ações judiciais e, principalmente, com danos reputacionais.

Mariana Sbaite Gonçalves
Advogada especialista em privacidade, DPO pela EXIN, Information Security Officer pela EXIN, Coautora dos livros "LGPD e Cartórios" e "Mulheres na Tecnologia" e mestranda em Science in Legal Studies.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

A relativização do princípio da legalidade tributária na temática da sub-rogação no Funrural – ADIn 4395

19/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024

Transtornos de comportamento e déficit de atenção em crianças

17/11/2024