Bruno Menezes Santana Silva

Segundo dispõe o art. 5, inciso VIII, da Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) o encarregado de dados, ou Data Protection Officer (DPO), é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Todavia, o artigo supramencionado não explica com clareza é que o papel do encarregado de dados é muito mais amplo do que apenas atuar como um canal de comunicação entre controlador, operador, titulares de dados e ANPD.

Entre as principais atividades exercidas pelo encarregado de dados, podemos citar aquelas previstas no art. 41, §2º, da LGPD, a saber:

a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

b) receber comunicações da autoridade nacional e adotar providências;

c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

É possível ainda que a Agência Nacional de Proteção de Dados (ANPD) estabeleça normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

De mais a mais, não há dúvidas que o Data Protection Officer (DPO) deve possuir integridade e ética pessoal, além de sólido conhecimento da LGPD, já que este profissional desempenha um papel determinante na promoção da cultura de proteção de dados na empresa.

É bastante recomendável que o encarregado de dados não acumule funções e tenha independência opinativa para o desempenho do papel de orientação do controlador e dos agentes de tratamento sobre as melhores práticas de tratamento de dados. Com efeito, o encarregado de dados deve participar ativamente do processo decisório da empresa, no que tange aos assuntos que impactem na proteção de dados pessoais.

Outro ponto interessante em relação ao papel de encarregado de dados é que este pode ser exercido tanto por pessoas físicas como por pessoas jurídicas, já que não há vedação legal para estes últimos exercerem o papel de DPO nas organizações empresariais. Assim, é possível que o encarregado de dados seja uma empresa ou profissional terceirizado, pessoa física ou jurídica. Também não há vedação de que o encarregado de dados seja um comitê de pessoas nomeadas pela empresa ou que seja nomeado um único encarregado para a matriz e as filiais da organização empresarial.

 

BRUNO SILVA & SILVA ADVOGADOS