Quais as atribuições do encarregado (DPO) segundo a Lei de Proteção de Dados

Com as novas leis de pro­teção de dados, novas insti­tu­ições, mer­ca­dos e até atribuições profis­sion­ais estão surgin­do. E um dos prin­ci­pais é o Data Pro­tec­tion Offi­cer (DPO) ou encar­rega­do de pro­teção de dados.

Depen­den­do da for­ma e dos obje­tivos para os quais uma empre­sa recol­he dados dos seus usuários ela pre­cisa ser mon­i­tora­da por um DPO. A seguir, vamos enten­der mel­hor o papel desse profis­sion­al e desco­brir se o seu negó­cio pre­cisa contratá-lo. 

Quem é o DPO?

A figu­ra do DPO gan­hou maior noto­riedade a par­tir da pub­li­cação do Reg­u­la­men­to Ger­al de Dados da União Europeia (GDPR) no ano pas­sa­do. De for­ma ger­al, esse profis­sion­al é um espe­cial­ista em pro­teção de dados e mon­i­to­ra empre­sas para garan­tir que elas este­jam em com­pli­ance com as regras e boas práti­cas do setor. Ele tam­bém deve inter­me­di­ar os inter­ess­es da empre­sa (con­tro­lador) e do tit­u­lar dos dados. 

Com a cri­ação da Lei Ger­al de Pro­teção de Dados brasileira (LGPD), que se inspirou bas­tante no GDPR, o DPO rece­beu o nome de encar­rega­do e gan­hou a seguinte definição, reg­istra­da no arti­go 5º da lei: “pes­soa indi­ca­da pelo con­tro­lador para atu­ar como canal de comu­ni­cação entre o con­tro­lador, os tit­u­lares dos dados e a Autori­dade Nacional de Pro­teção de Dados (ANPD)”.

As funções do DPO de acordo com o GDPR

De acor­do com arti­go 37 do GDPR a figu­ra do DPO é necessária sem­pre que o trata­men­to for feito por órgãos ou autori­dades públi­cas (com exceção de tri­bunais), a empre­sa lide com dados espe­ci­ais e sen­síveis (como infor­mações sobre etnia, religião e con­de­nações penais) ou faça um mon­i­tora­men­to em larga escala. 

O arti­go 39 define que estão entre as tare­fas do DPO: 

• Infor­mar e acon­sel­har o respon­sáv­el pelo trata­men­to e os demais profis­sion­ais sobre suas obri­gações nos ter­mos do GDPR;

• Con­tro­lar a con­formi­dade com o GDPR e com as políti­cas do respon­sáv­el pelo trata­men­to, incluin­do a atribuição de respon­s­abil­i­dades, a sen­si­bi­liza­ção e a for­mação do pes­soal envolvi­do no tratamento;

• Prestar acon­sel­hamen­to, se tal for solic­i­ta­do, no que se ref­ere à avali­ação do impacto da pro­teção de dados, e acom­pan­har o seu desempenho;

• Coop­er­ar com as autoridades;

• Servir de ponte para a autori­dade de super­visão em questões rela­cionadas com o tratamento.

As tarefas do DPO segundo a LGPD

O tex­to da LGPD tam­bém des­igna algu­mas atribuições para o encar­rega­do. O arti­go 41, pará­grafo 2º lista essas atividades:

• Aceitar recla­mações e comu­ni­cações dos tit­u­lares, prestar esclarec­i­men­tos e ado­tar providências;
• Rece­ber comu­ni­cações da autori­dade nacional e ado­tar providências;
• Ori­en­tar os fun­cionários e os con­trata­dos da enti­dade a respeito das práti­cas a serem tomadas em relação à pro­teção de dados pessoais;
• Exe­cu­tar as demais atribuições deter­mi­nadas pelo con­tro­lador ou esta­b­ele­ci­das em nor­mas complementares.

O pará­grafo 3º ain­da afir­ma que “a autori­dade nacional poderá esta­b­ele­cer nor­mas com­ple­mentares sobre a definição e as atribuições do encar­rega­do, inclu­sive hipóte­ses de dis­pen­sa da neces­si­dade de sua indi­cação, con­forme a natureza e o porte da enti­dade ou o vol­ume de oper­ações de trata­men­to de dados”. Ou seja, essas tare­fas podem ser adap­tadas ou excluí­das de acor­do com ori­en­tação da ANPD. 

Obser­van­do os dois “job descrip­tions” é pos­sív­el perce­ber que as tare­fas são bem pare­ci­das e se resumem em mon­i­torar, fis­calizar, ori­en­tar e faz­er a ponte entre os tit­u­lares e as empresas. 

Mas con­tratar (ou não) um DPO é só um dos vários proces­sos para se ade­quar às novas regras de pro­teção de dados. Se você pre­cisa de apoio nes­sa tran­sição, entre em con­ta­to com os advo­ga­dos espe­cial­iza­dos em Dire­ito Dig­i­tal e Empre­sar­i­al da Assis e Mendes.