Com a entrada em vigor da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (L.G.P.D.), surgiram novas obrigações; com elas, novas figuras, que são essenciais à adequação e ao cumprimento da norma. Uma delas é o Encarregado pelo Tratamento de Dados Pessoais, também conhecido pela sigla D.P.O. (Data Protection Officer).
Nesse sentido, uma das etapas necessárias para a implementação das diretrizes trazidas pela L.G.P.D. é a escolha de quem será o Encarregado pelo Tratamento de Dados Pessoais.
Este é um momento sensível e que provoca uma série de questionamentos comuns à grande maioria das empresas e instituições:
- – Quem precisa nomear um Encarregado?
- – Quem pode ser este Encarregado?
- – Qual a função do Encarregado?
- – O Encarregado será o responsável por tratar os dados pessoais de toda a rotina empresarial?
Assim, reconhecendo a criticidade do tema, elaboramos este breve informativo sobre esta figura de destaque na legislação e sobre as suas atribuições.
A fim de endereçar esses questionamentos, é preciso esclarecer que a definição de Encarregado é prevista no inciso VIII do artigo 5º da L.G.P.D. e que a obrigação de indicar esse agente consta do art. 41 do mesmo diploma.
Vale dizer que, atualmente, a Lei impõe que todos os agentes de tratamento precisam nomear o seu Encarregado.
Por sua vez, há uma Consulta Pública aberta, acessível no portal da A.N.P.D., sobre resolução que visa uma possível relativização das obrigações da L.G.P.D., incluindo de nomeação do Encarregado de dados, para agentes de tratamento de pequeno porte – microempresas, empresas de pequeno porte, startups, pessoas jurídicas sem fins lucrativos, pessoas naturais, entes despersonalizados e agentes de tratamento que possuem receita bruta máxima R$ 16.000.000,00 (dezesseis milhões de reais) no ano-calendário, que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Em todo caso, por ora, o Encarregado deve ser indicado pelos agentes de tratamento para atuar como um verdadeiro ombuds entre o titular de dados pessoais e os agentes de tratamento, servindo como canal de comunicação entre estes e a Agência Nacional de Proteção de Dados (A.N.P.D.).
Isso não significa que esta figura seja, obrigatoriamente, um colaborador ou empregado da empresa. Embora a definição da Lei não seja clara nesse sentido, é possível contratar para exercer a função de Encarregado um terceirizado, externo, pessoa jurídica e, inclusive, mais de uma pessoa, não havendo qualquer proibição legal neste sentido.
O importante é que quem for indicado seja capacitado, receba orientação e treinamento apropriados ao exercício das suas funções, bem como que conheça, além da Lei, as rotinas, os procedimentos e o fluxo interno e externo do tratamento de dados, de modo a promover a segurança e a transparência do tratamento, garantindo a privacidade e o exercício dos direitos dos titulares.
Em que pese não seja o Encarregado a pessoa que irá tratar os dados pessoais, é ele quem irá prestar informações a respeito desse tratamento. Veja-se que a L.G.P.D. cita nos incisos do parágrafo 2º do artigo 41 as atividades que serão desempenhadas por esta figura, são essas:
- – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- – receber comunicações da autoridade nacional e adotar providências;
- – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
- – Por essas atribuições, da mesma forma que um responsável por questões de compliance, é importante que o Encarregado seja dotado de isenção e independência para que possa atuar com a autonomia compatível com o exercício de suas funções.
Nesse sentido, a figura do Encarregado, muitas vezes, terá um papel semelhante ao de um profissional de compliance ou de um auditor, elaborando documentos que podem ser solicitados pela A.N.P.D., revisando rotinas de tratamento e orientando os envolvidos nessas rotinas, ou atendendo reclamações, denúncias e comunicações de titulares e da agência reguladora.
Portanto, ao nomear um Encarregado, é recomendado avaliar se ele possui uma boa comunicação interna e externa, se conhece o fluxo e as rotinas da empresa e se pode se dedicar a este papel.
Não obstante, a aplicação de treinamentos e de dinâmicas de conscientização são indispensáveis para um processo de adequação à L.G.P.D..
Sobretudo, a fim de que as pessoas estejam alinhadas com os princípios e valores da empresa, com os objetivos da Lei e cientes de todos os seus conceitos.
Enfim, escolher bem um Encarregado pelo Tratamento de Dados Pessoais é uma segurança para os agentes de tratamento e para os titulares dos dados.
Zavagna Gralha Advogados
