Dr. Edmilson Almeida[1]
Jaime Ferreira[2]
Durante o último mês, muito se ouviu a respeito da Lei nº 13.709 (Lei Geral de Proteção de Dados – LGPD)[3] devido a sua entrada em vigor em 18 de setembro de 2020. Na verdade, o assunto proteção de dados começou a ser tratado no brasil, de maneira superficial, com a aprovação em 2016 da GDPR (General Data Protection Regulation), lei que regulamenta o assunto na Europa.
Contudo, infelizmente, muito do que se tem visto hoje é fruto de histeria e desespero generalizado. Conceitos não são explicados com a profundidade necessária, “profissionais” passam informações erradas, e, eventualmente tentam se aproveitar ao oferecer um “pacote mínimo de LGPD”, e não abordam o cerne do assunto, tudo que é essencial. Entre os pontos principais da Lei Geral de Proteção de Dados, há a figura do encarregado, conhecido também como DPO (Data Protecion Officer). Mas quem é esse sujeito e o que a lei fala a respeito dele?
O primeiro destaque que precisa ser feito está relacionado ao seu caráter de obrigatoriedade, ou seja, todas as empresas, e demais pessoas naturais e jurídicas, seja pública ou privada, independentemente de seu fim, serão obrigadas a indicar o encarregado (arts. 23, III e 41 da LGPD). Este será indicado pelo controlador, e atuará como canal de comunicação entre os sujeitos que fazem parte dessa relação: 1) Titulares de Dados; 2) Autoridade Nacional de Proteção de Dados (ANPD); e 3) Controlador.
Nesse espectro é possível se questionar sobre como será os trabalhos do encarregado. Estas consistirão no contato direto com os titulares e com a ANPD, inclusive adotando as providências necessárias (Art. 41, §2º, I e II), na orientação de funcionários e contratados sobre os procedimentos que garantirão a proteção dos dados (Art. 41, §2º, III), e na execução das outras determinações estabelecidas pelo controlador ou em normas complementares (Art. 41, §2º, IV). E para que sua atribuição como canal de comunicação possa acontecer, é necessário que sua identidade e contato estejam divulgados publicamente (Art. 41 §1º).
Curiosa é a disposição sobre quem poderá atuar como encarregado. A LGPD não limita somente às pessoas naturais, mas abre espaço para que até mesmo empresas exerçam essa função[4]. A lei, inclusive, não apresenta os requisitos que o sujeito que atuará como DPO necessita, garantindo ampla liberdade para que as próprias empresas definam.
Assim, ainda que haja essa liberdade, é importante que o indicado tenha um conhecimento e preparo para exercer as atribuições, principalmente nas áreas do direito e proteção de dados. Ademais, seria ótimo para a empresa, que o seu encarregado ainda tivesse conhecimentos, até mesmo introdutórios, relacionados à tecnologia e/ou sistema de informações, o que facilitaria os esforços para garantir a segurança dos dados.
Por fim, é bastante pertinente, para todos que realizam o tratamento de dados pessoais, saber que o DPO nomeado poderá ser alguém da própria equipe, já que a LGPD não determina necessidade de ser um contratado externo. Nesse sentido, é necessário, como já anunciado, que o encarregado possua competência, e ele poderá ser aperfeiçoado, em conhecimentos e habilidades, através da equipe que fará a implementação dessa lei na organização.
[1] Advogado. Supervisor Jurídico do “SS Advocacia, Consultoria e Assessoria Jurídica” e pesquisador em Proteção de Dados Pessoais.
[2] Estagiário do “SS Advocacia, Consultoria e Assessoria Jurídica” e Responsável pelo Núcleo Técnico Jurídico (NTJ) de Direito às Inovações e Compliance.
[3] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 05 nov, 2020
[4] GOMES, Rodrigo D. P. Encarregado pelo tratamento de dados pessoais na LGPD. Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/encarregado-pelo-tratamento-de-dados-pessoais-na-lgpd-02102019> Acesso em: 05 nov. 2020
