Encarregado (DPO)

O Encarregado dos Dados, ou Data Protection Officer (DPO) garante, de forma independente, que uma determinada organização segue as leis que protegem os dados pessoais dos indivíduos. A designação, posição e tarefas de um Encarregado dentro de uma organização são descritas nos Artigos 37, 38 e 39 do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia^[1] e, no Brasil, no art. 41 da Lei Geral de Proteção de Dados (LGPD). Muitos outros países exigem a nomeação de um DPO de acordo com suas leis nacionais, e isso está se tornando mais prevalente na legislação de privacidade.

De acordo com o RGPD e a LGPD, o DPO deve se reportar diretamente ao mais alto nível de gestão. Isso não significa que o Encarregado deva ser gerenciado diretamente por esses gestores, mas devem ter acesso direto para aconselhar os administradores que estão tomando decisões sobre o processamento de dados pessoais.^[2]

As principais responsabilidades do DPO incluem garantir que sua organização esteja ciente e seja treinada em todas as obrigações relevantes do RGPD. Além disso, eles devem realizar auditorias para garantir a conformidade, abordar problemas potenciais de forma proativa e atuar como um elo de ligação entre sua organização e o público em relação a todas as questões de privacidade de dados.^[3] No Brasil, essas obrigações são similares, pois o Encarregado deve: aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e adotando providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da entidade sobre as melhores práticas no tratamento de dados pessoais; e, de forma subsidiária, realizar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.^[4]

Da dispensa do encarregado - Flexibilização da LGPD (Brasil) editar

Autoridade Nacional de Proteção de Dados (ANPD) do Brasil, mediante a Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022^[5], flexibilizou a LGPD para os agentes de tratamento de pequeno porte, sendo eles:

microempresas e empresas de pequeno porte
startups
pessoas jurídicas de direito privado, inclusive sem fins lucrativos
pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador

Em regra, é obrigatório a indicação do encarregado, artigo 41 da LGPD. Entretanto, houve a dispensa do encarregado para os agentes de pequeno porte, mesmo assim, ainda deverá ser disponibilizado um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

Lembrando que a indicação de um encarregado será considerado como política de boas práticas e de governança, em especial, nos casos aplicação de sanções administrativas. Porém, para saber se as empresas de pequeno porte podem se beneficiar da flexibilização da LGPD é necessário verificar os critérios econômicos, bem como as exceções estabelecidas pela Resolução'.

Referências editar

↑ «GDPR Official Text». EU Commission. Consultado em 26 de abril de 2018
↑ «Data protection officers». ico.org.uk. ICO. Consultado em 9 de maio de 2018
↑ «What is a Data Protection Officer (DPO)? Learn About the New Role Required for GDPR Compliance in 2019». Digital Guardian. 30 de janeiro de 2017. Consultado em 2 de maio de 2021
↑ «Lei nº 13.709, de 14 de agosto de 2018». www.planalto.gov.br. Consultado em 29 de maio de 2021
↑ «Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022»

Ligações externas editar

[1] «GDPR Official Text». EU Commission. Consultado em 26 de abril de 2018

[2] «Data protection officers». ico.org.uk. ICO. Consultado em 9 de maio de 2018

[3] «What is a Data Protection Officer (DPO)? Learn About the New Role Required for GDPR Compliance in 2019». Digital Guardian. 30 de janeiro de 2017. Consultado em 2 de maio de 2021

[4] «Lei nº 13.709, de 14 de agosto de 2018». www.planalto.gov.br. Consultado em 29 de maio de 2021

[5] «Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022»

[1]

[2]

[3]

[4]

[5]