Carolina Elisa Margonari*
Legislação aplicável
Com a vigência da Lei Geral de Proteção de Dados, a LGPD, além do surgimento de uma nova área, criou dentro do mercado de trabalho uma nova profissão, o Encarregado de Dados. Na legislação europeia, esse profissional é conhecido como Data Protection Oficer (DPO). No Brasil, tanto o termo Encarregado como o DPO são utilizados para identificar este profissional.
A legislação brasileira disponibilizou apenas um artigo para esclarecer sobre as responsabilidades deste profissional, dentro da relação do Controlador com os dados pessoais ou pessoais sensíveis. Ela não trouxe informações sobre o perfil acadêmico ou profissional do Encarregado. O mercado brasileiro teve que se adaptar rapidamente ao perfil ideal para ocupar esta posição. Existem vagas direcionadas para os profissionais da área de segurança da informação (SI) ou TI, outras com foco mais direcionado para o perfil de profissionais da área jurídica, e outras misturando esses dois universos.
Funções do Encarregado de Dados
Em geral, a atuação do DPO consiste em intermediar a relação entre o Controlador, os titulares de dados e a ANPD. Ser ponto de consulta sobre o tema proteção de dados, durante a realização das atividades do Controlador, podendo realizar ou participar da elaboração do LIA, DPIA, RoPA, plano de resposta a incidentes, DPA (Data Processing Agreement), questões envolvendo Privacy by Design e demais documentos necessários para adequação das organizações ou empresas. Desenvolver ações de conscientização, apoiar internamente o tema, fiscalizar e monitorar a governança dos documentos elaborados durante o projeto de adequação.
Relação do Encarregado
O Encarregado de Dados possui um papel extremamente importante, por isso, é essencial que ele tenha uma boa relação com a alta direção, colaboradores, funcionários do Controlador, devendo sempre buscar o equilíbrio entre as atividades realizadas por ele e as questões envolvendo proteção de dados. Zelar pelos direitos dos titulares de dados, atuar com independência, e não virar um obstáculo para as atividades realizadas pelo Controlador de Dados.
Como a proteção de dados envolve grandes desafios como mudança de cultura, existe a necessidade de se evitar que a LGPD crie um trauma dentro da organização ou empresa, impedindo o seu entendimento e o apoio que este tema precisa ter, para que a adequação alcance o seu objetivo. Qualquer tipo de entrave acaba criando um risco interno desnecessário para as organizações ou empresas.
Se o profissional for da área de SI ou TI, precisa saber interagir com o time da área de proteção de dados para validação de algumas das atividades realizadas dentro da empresa ou organização. E se deve evitar a criação de ações radicais, coação, ameaças ou críticas severas ao Controlador.
Obrigatoriedade do Encarregado de Dados
A ANPD, em sua Resolução nº 02, de 27 de janeiro de 2022, voltada aos agentes de tratamento de pequeno porte, dispensou a obrigatoriedade da indicação do Encarregado para esses agentes, viabilizando a possibilidade de utilização de canal de comunicação com o titular de dados em seu lugar. Mas, mesmo com essa flexibilização, a resolução menciona que a indicação do Encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas.
O DPO possui um papel muito importante, simboliza a indicação de compliance perante o titular de dados e a ANPD. O Encarregado vai encontrar diversas dificuldades durante a realização das suas atividades. Por isso, é essencial que esse profissional, além de zelar pelas boas práticas, saiba atuar em conjunto com os outros profissionais da área de proteção de dados, respeite e atue em harmonia junto com os atores que realizam o tratamento de dados pessoais ou pessoais sensíveis pelo Controlador.
Leia outros artigos da autora:
Proteção de Dados dentro das Organizações da Sociedade Civil
Os canais oficiais dos controladores
Carolina Elisa Margonari: Advogada de Szazi, Bechara, Storto, Reicher e Figueirêdo Lopes Advogados