Com a imposição legal de se ter uma governança do tratamento de dados pessoais, as empresas e organizações que assumem o papel de controlador têm a obrigação de definir um Encarregado de Dados, que é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), segundo a Lei Geral de Proteção de Dados Pessoais (LGPD). Como há possibilidade do Encarregado ser uma pessoa física ou jurídica, pode ficar a dúvida sobre qual seria a melhor opção a tomar. Este artigo apresenta pontos importantes para ajudar as empresas na escolha e definição de sua estrutura.

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709 de 14 de agosto de 2018, representa um marco no Brasil quanto ao tratamento de dados pessoais por pessoas físicas e jurídica, pois apresenta conceitos e busca estruturar, em âmbito nacional, um sistema efetivo de proteção de dados pessoais. Dentre os principais requisitos encontram-se as definições dos agentes de tratamento de dados e suas responsabilidades.

Para facilitar este entendimento, a ANPD criou o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, no qual apresenta que, “Ao mesmo tempo, a LGPD deixa espaços para interpretações e regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD), a quem incumbe zelar pelos dados pessoais, bem como regulamentar a LGPD e o seu enforcement.” Neste documento, encontram-se definições e diretrizes principalmente sobre alguns assuntos que mais têm suscitado dúvidas, como por exemplo o conceito e os aspectos relacionados aos agentes de tratamento, quais sejam, o controlador e o operador, bem como sobre o encarregado.

Quanto ao Encarregado de Dados, ou também conhecido como DPO (Data Protection Officer), a Lei apresenta no artigo 41 da LGPD, que o controlador de dados deverá indicar um  Encarregado pelo tratamento de dados pessoais. O Encarregado é o responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD.

“71. A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.”

Particularmente ao tema da importância da terceirização do DPO no processo de adequação à LGPD, “A atuação do Encarregado pelo tratamento de dados pessoais é crucial durante o processo de adequação à LGPD. Sua proatividade é imprescindível para o fluido desempenho da organização nas diversas demandas que surgem no cotidiano das atividades empresariais”, escreveram Renato, Renata e Guilherme em um artigo do Opice Blum, Bruno e Vainzof Advogados Associados. (clique aqui para ler o artigo ).

Neste artigo eles abordaram a possibilidade de atuação de um DPO terceirizado ou um DPO as a service (DPOaaS), tendência muito comum em diversos ramos de atividades de prestação de serviços. Segundo os autores, esta opção surge como “opção bastante comum no ecossistema da LGPD, desenvolvendo papel externo ao agente de tratamento e seus colaboradores”. Ainda comentam que “o trabalho do DPOaaS une diversas frentes de conhecimento, resultando na gestão das demandas recebidas dos titulares de dados, agentes de tratamento e órgãos reguladores. Nesse caso, o DPO terceirizado pode sugerir posturas organizacionais ou até, em nível mais aprofundado, mecanismos de mitigação de riscos jurídicos”.

Segundo eles, a modalidade de contratação do DPO terceirizado reduz as chances de “conflito de interesses entre o funcionário interno nomeado como Encarregado e os demais colaboradores da empresa, além de trazer perspectiva externa sem envolvimento sentimental pelo negócio, fenômeno esse que pode acabar atrapalhando a dinâmica cultural da organização”. Um outro argumento que surge neste debate é o fato de ser uma função relativamente nova, que exige muito conteúdo especializado e, ao mesmo tempo a lei já está em vigor, a empresa pode ganhar “tempo” contratando uma empresa que já tem uma bagagem mais ampla no tema.

Seguindo o mesmo pensamento, Ygor Buitrago, Head de Riscos e Compliance da Clavis Segurança da Informação, comenta que “um ponto importante é que a ANPD não determinou o perfil do Encarregado. Sendo assim, é claro que o DPOaaS pode reduzir a chance do conflito de interesse, o que pode ser um ponto positivo”. Ele ressalta que pode, pois a empresa contratada precisa ter o apoio da alta direção e isso na prática nem sempre acontece.”

Ao fazer uma comparação com o GDPR, Ygor apresenta que “no GDPR, o DPO precisa responder diretamente à Alta Gestão, ter autonomia, além de não assumir múltiplas funções consideradas conflitantes.” Portanto, até que saia uma orientação mais específica sobre o perfil do Encarregado, um profissional interno pode assumir esta função. 

O que deve ser feito é mitigar o risco inclusive do conflito de interesse. Normalmente, quando se nomeia um Encarregado existe a necessidade, conforme o GUIA ORIENTATIVO PARA DEFINIÇÕES DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS E DO ENCARREGADO da própria ANPD, de ser criado um ATO administrativo o qual consta,  por exemplo, que ele tem o apoio da alta direção e autonomia necessária para exercer sua função.

Sendo assim, cada empresa deve avaliar as condições de orçamento e risco, bem como mitigá-los. O processo de adequação à LGPD deve ser iniciado de imediato, caso a empresa ainda não tenha realizado, uma vez que há previsão de multas em casos de não conformidades, bloqueio ou até mesmo a eliminação dos dados pessoais a que se refere a infração.

Conheça como a Clavis Segurança da Informação pode ajudar você e a sua empresa na terceirização de um DPO. Clique aqui e confira a página no site da Clavis: DPO as a Service (DPOaaS). Este serviço permite que a sua empresa possa contar com nosso centro de serviços compartilhados que possui profissionais com experiência prática na implementação da Lei Geral de Proteção de Dados (LGPD).

Para mais informações acesse: www.clavis.com.br

Fontes: www.planalto.gov.br / www.gov.br / www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf / www.portaldaprivacidade.com.br e analise.com