A Lei Geral de Proteção de Dados e as atribuições do DPO
Aprovada em 15/08/2018, a LGPD tem eficácia em todos os setores da sociedade. Suas regras entrarão em vigor em agosto de 2020. Entretanto, 75% das empresas no Brasil ainda não se adaptaram às regras da dita legislação.
A LGPD, como é chamada, tem como objetivo estabelecer regras sobre como as empresas e poder público tratam os dados pessoais, ou seja, como coletam, como armazenam, como vendem etc., fixando limites para que isso ocorra.
Além das regras determinadas por lei de adequação dos seus negócios empresariais para estar em conformidade com a legislação, as pessoas jurídicas devem contratar um Data Protection Officer (DPO). Este profissional será responsável por fazer a ponte entre o titular dos dados (cidadãos), a Autoridade Nacional de Proteção de Dados (ANPD) e as organizações. Por aqui, a legislação brasileira denominou o cargo de DPO como “Encarregado”. Fazendo um paralelo com o Regulamento Geral de Proteção de Dados, podemos citar alguns exemplos de atividades do DPO: auxiliar a empresa no processo de adaptação, na estruturação e monitoramento de um programa de compliance com foco em proteção de dados, na orientação e esclarecimento de dúvidas das diversas áreas internas, dos titulares de dados, na orientação ao desenhar um novo produto empresarial, entre outros.
Importante destacar que a ANPD poderá criar normas complementares com outras atribuições para o Encarregado. No que diz respeito às responsabilidades, o Encarregado deverá agir com autonomia e independência e não poderá sofrer penalidades ou ser demitido em decorrência do exercício de sua função. Vale esclarecer, ainda, que a responsabilidade pelo cumprimento da LGPD é do controlador (empresa que demanda o tratamento de dados) ou do operador (que faz o tratamento de dados).
O Encarregado não poderá ser responsabilizado, na pessoa física, pelo cumprimento ou não das obrigações previstas em lei, exceto, claro, se comprovado ter agido de má-fé e em desacordo com as orientações e posicionamento de seu empregador. Devemos esclarecer que poderá exercer a função de DPO/Encarregado uma pessoa física ou jurídica, interna ou contratada, que poderá acumular outras funções desde que possa exercer tal atividade com independên-cia e autonomia.
A LGPD determina que a identidade e as informações de contato do DPO deverão ser divulgadas, de forma clara e objetiva, preferencialmente no site do controlador. Imperioso salientar que as empresas, como um todo, deverão indicar uma única pessoa para ocupar o papel de DPO/Encarregado, mas elas poderão estruturar programas de governança em proteção de dados pessoais.
Além disso, apesar da última versão da LGPD ter deixado de exigir que o DPO/Encarregado tenha conhecimento jurídico regulatório, essa associação de habilidade será fundamental para o exercício da função, entretanto, nada impede que essa função seja exercida por uma pessoa física da área de tecnologia da informação.
Ou, ainda, uma empresa com certificação em proteção de dados. Por certo que o profissional que vier a ser escolhido para exercer esse papel, deverá ter amplo conhecimento do negócio da empresa, da legislação em proteção de dados, as questões de segurança da informação e, claro, tenha habilidade em se comunicar. Ademais e não menos importante, existe um questionamento no mercado se, o DPO/Encarregado, deve estar presente em todas as empresas, independente do seu porte de mercado. Bem, oportunamente esclarecemos que a LGPD não fez qualquer distinção ou concedeu hipóteses de dispensas da função obrigatório do DPO/Encarregado. Desta forma, até que se prove ao contrário, ou, surja alguma determinação por parte da ANP, tecnicamente todas as empresas que tratem dados pessoais, de qualquer tamanho, deverão ter um DPO/Encarregado. Porém, a versão final do texto da LGPD trouxe a possibilidade de a Autoridade Nacional vir a criar hipóteses de exceção. Por fim, destacamos que caso uma empresa não contrate o seu DPO/Encarregado, ela está assumindo um risco muito grande; isso porque, é uma obrigação a contratação deste profissional e seu descumprimento pode ensejar a aplicação por parte da ANPD de uma das penalidades definidas na lei que podem ir desde advertência, passando por publicização da infração e culminando na aplicação de multa, fixa ou diária, limitada a R$ 50 milhões por infração.
Ana Paula de Moraes é advogada especialista em direito digital e sócia fundadora do De Moraes Advocacia. Leia a revista