Apesar da LGPD já estar em vigor muitas são as empresas que ainda não iniciaram a implementação de adequação às regras da lei e não designaram um encarregado de dados, por sequer saberem que se trata de uma obrigação legal.
A Lei Geral de Proteção de Dados (LGPD) regulamenta o tratamento dos dados pessoais por pessoa física ou por pessoa jurídica de direito público ou privado no território nacional.
A LGPD foi inspirada na Legislação Europeia de Proteção de Dados Pessoais (“General Data Protection Regulation – GDPR”) e exige que as empresas e profissionais autônomos revejam as suas operações e procedimentos que envolvam o tratamento de dados pessoais dos seus colaboradores, clientes, fornecedores e parceiros comerciais.
A LGPD trouxe a figura do encarregado de dados, que equivalente ao DPO (Data Protection Officer) na GDPR e que é um canal de comunicação entre o titular, o controlador e Autoridade Nacional de Proteção de Dados ANPD.
Segundo o art. 41, § 2º. da LGPD compete ao Encarregado:
– aceitar reclamações e comunicações dos titulares e prestar os respectivos esclarecimentos;
– receber comunicações da autoridade nacional e adotar providências necessárias;
– orientar os funcionários e os contratados da organização a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e
– executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A Lei dispõe sobre a possibilidade de a Autoridade Nacional de Proteção de Dados (ANPD) estabelecer novas atribuições ao encarregado e também a possibilidade de dispensa da obrigatoriedade da sua indicação, a depender da natureza, do porte da entidade ou do volume de operações de tratamento de dados.
Entretanto, enquanto a ANPD não estabelecer qualquer regulamentação nesse sentido, por ora, todas as empresas precisarão nomear um Encarregado e indicar o seu contato de forma clara e objetiva, preferencialmente em seu site.
De acordo com os termos da LGPD, a empresa pode optar por qualquer uma destas modalidades. Caso opte que o encarregado seja um empregado, é preciso analisar se na prática será possível cumular as atribuições de sua função original com as aquelas que deverá assumir como encarregado.
Sendo possível, as vantagens de o encarregado ser um empregado da empresa é que tem maior conhecimento dos procedimentos internos e maior comprometimento com a organização. Em contrapartida, esta opção pode gerar um custo alto para a empresa e por isso acaba sendo mais indicada para as empresas de médio e grande porte.
Caso seja um empregado que acumule funções (não seja exclusivamente encarregado/DPO), é importante que não ocupe uma função que lhe permita determinar os objetivos e os meios de processamento de dados pessoais, pois deve ser garantida a autonomia e a isenção do encarregado. Com isso, recomenda-se que o encarregado não seja responsável por funções que possam resultar na alocação da proteção de dados em papel secundário diante dos interesses comerciais da organização.
Imprescindível que não haja conflito de interesses entre a função anteriormente exercida e a função de Encarregado.
Portanto, para que não haja conflitos de interesses, pode ser nomeado como encarregado um colaborador já existente na empresa, desde que os seus deveres profissionais sejam compatíveis com os deveres legais do encarregado.
A empresa poderá optar por um encarregado terceirizado, o que pode representar um custo mais baixo, sendo esta opção mais indicada para empresas de pequeno e médio porte.
Para ser encarregado terceirizado é preciso ter prévio conhecimento das rotinas da empresa e por não fazer parte do quadro de empregados da empresa acaba tendo maior autonomia no desempenho da sua função.
Seja interno ou terceirizado é importante que o encarregado esteja comprometido com todas as questões relacionadas com a proteção de dados na empresa, que se reporte diretamente com o mais alto nível da gestão da organização e que seja assegurada atuação de forma independente, autônoma e com os recursos adequados (tempo disponível suficiente, infraestrutura e, quando possível, contar com uma equipe etc).
A LGPD não faz qualquer exigência neste sentido. Diferente da GDPR que determina que o DPO tenha experiência e conhecimento especializado em legislação de proteção de dados, embora não esclareça quais as certificações que deva ter. Ressalva, apenas, que deve ser proporcional ao tipo de tratamento de dados pelo qual será responsável.
Segundo a LGPDO o encarregado não é pessoalmente responsável pela conformidade às regras da lei pela empresa. No entanto, exerce papel imprescindível para auxiliar o controlador e o operador de dados a cumprirem adequadamente os termos da LGPD dentro da empresa.
Devido a alto grau de responsabilidade atribuídas à função de Encarregado, as empresas devem ter atenção e cautela na hora de escolher esse profissional que tem como principal mister garantir a proteção dos dados pessoais que trafegam na empresa e minimizar os riscos de eventuais ações judiciais, reclamações e, a partir de agosto/2021, sanções administrativas que podem gerar sérios prejuízos para a organização.
Você também pode se interessar por:
A LGPD está em vigor: O que a empresa deve fazer agora?
Como o RH da empresa deve atuar para estar em conformidade com a LGPD?
Impactos da LGPD nas relações trabalhistas.
LGPD: Como controlar os dados dos colaboradores?
Se você tem dúvidas quanto a implementação da LGPD na sua empresa, entre em contato conosco.
Sua empresa precisa de consultoria e adequação para a LGPD?
Entre em contato conosco.
Melissa Noronha M. de Souza Calabró é sócia no escritório Noronha & Nogueira Advogados.
Pós-graduada em Direito e Processo do Trabalho pela Universidade Presbiteriana Mackenzie e em Coaching Jurídico, com formação em Professional & Self Coaching pelo IBC.
É membro efetivo da Comissão de Coaching Jurídico da OAB/SP.