Encarregado de dados: um parceiro para a adequação à LGPD

Por Gabriela Totti - gabriela.totti@biolchi.com.br




Com a Lei Geral de Proteção de Dados (LGPD), surgiu a figura do encarregado de dados, que deve ser indicado pelo controlador. O parágrafo 2º do artigo 41 da lei estabelece as atividades que o encarregado deverá realizar, sendo elas:


I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.


Nesse sentido, caberá ao encarregado ser o canal de comunicação entre o controlador, os titulares de dados e a ANPD. A lei não estabeleceu um perfil desse profissional, mas, tendo em vista sua função, dois aspectos devem ser analisados: o conhecimento sobre a LGPD e a capacidade de se comunicar de forma simples.

Por enquanto, não há hipóteses de dispensa da necessidade de indicação do encarregado. Ou seja: toda a organização que realize tratamento de dados pessoais deverá designar um encarregado de dados. Contudo, essa situação poderá ser alterada pela ANPD, pois a lei prevê a possibilidade de estabelecimento de normas complementares. Além de versar sobre definição e atribuições do encarregado, ela também poderá delimitar hipóteses de dispensa da indicação tendo como parâmetros a natureza e o porte da organização, ou o volume de operações de tratamento de dados.


Outro ponto relevante é a possibilidade de que o encarregado de dados seja uma pessoa física ou jurídica. Inicialmente, a lei previa que somente pessoas naturais poderiam desempenhar esta função. Porém, com as alterações legislativas ocorridas, essa restrição foi retirada e, hoje, é permitido que uma organização contrate uma empresa para desempenhar a função.


A lei não prevê impedimento de que um empregado da empresa possa cumular a função de encarregado, mas é recomendável que haja um profissional exclusivo para essa finalidade – sobretudo em organizações de maior porte. Afinal, o encarregado terá mais demandas e necessitará garantir a sua autonomia profissional nos processos da empresa. Inclusive, um precedente na União Europeia dá margem à aplicação de multa em razão de conflito de interesse na nomeação do DPO (figura similar ao nosso encarregado de dados) em uma empresa. Naquele caso, a pessoa cumulava outras funções que a autoridade belga entendeu serem incompatíveis com a função desempenhada de DPO. Aqui no Brasil, ainda não sabemos como a ANPD se posicionará a esse respeito, mas é preciso ter atenção.


A lei expressamente prevê a responsabilidade do controlador pelo tratamento de dados – ou seja, o encarregado de dados não será responsabilizado pela ANPD caso seja constatada alguma violação da lei. Porém, é possível que haja a responsabilização interna na organização se ficar demonstrado que ele tenha efetivamente contribuído para o dano causado. Dessa forma, tanto o empregado quanto um prestador de serviços contratados para exercer a função de encarregado poderão sofrer alguma espécie de responsabilização, dependendo da extensão das obrigações assumidas contratualmente.


Em resumo: o encarregado será a referência da privacidade na organização, tendo o papel de fomentar a cultura de proteção de dados e monitorar o programa de compliance para que sejam realizadas as devidas adequações e correções necessárias. Por isso, ele é uma figura essencial para que as organizações alcancem o objetivo de adequarem-se à LGPD, buscando construir uma cultura efetiva de privacidade.

Advogada e sócia do escritório Biolchi Empresarial


VOLTAR
  • Facebook
  • Telegram