Artigos
DPO Encarregado

DPO-AS-A-SERVICE

Neste artigo, vamos comentar sobre o cargo do Data Protection Officer (DPO) também conhecido como Encarregado e a possibilidade de terceirização desse trabalho (DPO as a service)

1. Origem do Encarregado

A criação da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018foi fortemente influenciada pelo Regulamento Geral sobre a Proteção de Dados (RGPD  2016/679 ) que regula o tratamento de dados pessoais dos Estados Membros da União Europeia.

Nesse sentindo, importamos diversos conceitos e termos técnicos do RGPD, um deles foi a função do Data Protection Officer (DPO).

No Brasil,  o DPO foi traduzido como “Encarregado” e suas atribuições estão definidas no art. 41 da LGPD, conforme veremos adiante.

2. Termos técnicos

Primeiramente, para compreender as funções do DPO, precisamos compreender alguns conceitos presente na LGPD, tais como:

  1. Tratamento de dados pessoais : qualquer operação que processe informações de pessoas naturais.
  2. Dados pessoais: são informações de pessoas naturais que, direta ou indiretamente identificam um indivíduo (titular de dados).
  3. O titular dos dados: é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
  4. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  5. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
3. Atividades do DPO/Encarregado

De início,  precisamos compreender quais são as atividades do DPO também conhecido como Encarregado.

No Brasil, as atribuições do Encarregado estão previstas no art. 41, da LGPD, tais como:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
  • receber comunicações da autoridade nacional e adotar providências
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares

Em outras palavras, o Encarregado atua como um canal de comunicação entre controlador, a Autoridade de Proteção de Dados Pessoais (ANPD) e os titulares de dados.

Igualmente, o Encarregado poderá ajudar a aumentar consciência de todos os integrantes de uma empresa sobre a importância dos temas de privacidade e proteção de dados.

Logo, percebemos que uma das principais funções do DPO é auxiliar o controlador dos dados a monitorar a sua conformidade com a LGPD.

4. Quem pode exercer o cargo de DPO?

Um dos pontos fundamentais em um projeto de adequação à LGPD é a escolha do Encarregado.

Segundo as orientações  da ANPD,  ele pode ser representado por:

  • pessoa física, podendo ser um funcionário da organização ou um agente externo
  • pessoa jurídica, normalmente, são empresas especializadas a fim de atuar como “DPO as a service

No entanto, é importante que a nomeação do DPO seja indicada por meio de um ato formal,  mediante um contrato de prestação de serviços ou um ato administrativo.

5. Quais são as qualificações do Encarregado?

De acordo a orientação da ANPD,  as qualificações “devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica,  considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.”

Portanto, cabe ao controlador analisar os riscos que envolvem sua organização relacionados a tratamento de dados.

Por exemplo:

  • um hospital, seguramente, precisará de um profissional qualificado em privacidade e proteção de dados, pois a sua atividade trabalha com dados sensíveis.
  • Por outro lado, uma padaria, a princípio, não terá a mesma necessidade.

Porém, em ambos os casos, é fundamental que o Encarregado tenha liberdade e independência para exercer suas atividades.

6. É obrigatório nomear um DPO?

Em regra, é obrigatório a indicação do Encarregado – artigo 41 da LGPD.

No entanto, houve a dispensa da indicação do  Encarregado para os agentes de tratamento de pequeno porte.

7. DPO as a service  (terceirizado)

DPO as a service é uma modalidade de contratação que a empresa/controladora, ao invés de nomear um DPO (interno), terceiriza o serviço, em outras palavras, contrata uma consultoria especializada em proteção de dados para atuar como Encarregado.

Vejamos as principais vantagens da contratação do DPO as a service:

  • não há encargos trabalhistas, pois o contrato é de prestação de serviço
  • diminui o risco de conflito de interesses, visto que a empresa contratada terá mais independência do que um funcionário (CLT).
  • redução de tempo com compliance
  • garantir um canal de atendimento aos titulares de dados
  • ter a disposição profissionais experientes e especializados
  • aumenta a credibilidade da empresa
  • demonstrar aos seus parceiros comerciais o seu comprometimento com a privacidade e proteção de dados
8. CONCLUSÃO

Em resumo, para saber se sua empresa se beneficiará com a indicação do Encarregado (interno) ou mediante Encarregado Terceirizado (DPO as service), o ideal é contratar uma consultoria especializada em LGPD para identificar as reais necessidades da sua empresa a fim de cumprir todos os requisitos legais exigidos pela LGPD.

 

 

 

 

 

Gustavo Giarllarielli

logo
Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!