Encarregado pelo Tratamento de Dados Pessoais (DPO)

Quem é o Encarregado pelo Tratamento de Dados Pessoais (DPO)?

O Encarregado pelo Tratamento de Dados Pessoais é o profissional designado pela organização para atuar como ponto de contato entre a empresa, os titulares dos dados e a ANPD. Importante salientar que não é do encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.

Controlador, Operador e Encarregado (DPO) na LGPD

Atribuições do Encarregado pelo Tratamento de Dados Pessoais (DPO)

1. Aceitar Reclamações e Comunicações dos Titulares:
   • O encarregado deve receber e responder a reclamações e comunicações dos titulares de dados, prestando os esclarecimentos necessários e tomando as providências cabíveis.
2. Receber Comunicações da ANPD:
   • O encarregado deve receber e responder às comunicações da ANPD, adotando as medidas necessárias para atender às solicitações e fornecer as informações pertinentes.
3. Orientar Funcionários e Contratados:
   • É responsabilidade do encarregado orientar os funcionários e contratados do agente de tratamento sobre as práticas adequadas de proteção de dados pessoais.
4. Executar Outras Atribuições:
   • O encarregado deve executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

Atribuições Adicionais do Encarregado pelo Tratamento de Dados Pessoais (DPO)

O encarregado deve prestar assistência e orientação ao agente de tratamento nas seguintes áreas:

1. Registro e Comunicação de Incidente de Segurança.
2. Registro das Operações de Tratamento de Dados Pessoais.
3. Relatório de Impacto à Proteção de Dados Pessoais.
4. Supervisão e Mitigação de Riscos.
5. Medidas de Segurança: Técnicas e administrativas para proteger dados pessoais.
6. Políticas Internas: Assegurar o cumprimento da LGPD e regulamentações da ANPD.
7. Instrumentos Contratuais: Relacionados ao tratamento de dados pessoais.
8. Transferências Internacionais de Dados.
9. Regras de Boas Práticas e Governança.
10. Design de Produtos e Serviços: Compatíveis com os princípios da LGPD, incluindo privacidade por padrão e limitação da coleta de dados.
11. Decisões Estratégicas: Relativas ao tratamento de dados pessoais.

Da Indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO)

A indicação do encarregado deve ser formalizada por um documento escrito, datado e assinado pelo agente de tratamento, detalhando suas atividades e formas de atuação. Isso é essencial para assegurar transparência e clareza na designação do encarregado, conforme estabelecido pelo Art. 3º da regulamentação da ANPD. O documento deve estar disponível para apresentação à ANPD quando solicitado.

Qualificações do Encarregado

Embora a LGPD não exija certificações específicas para o encarregado de proteção de dados, é recomendável que ele possua conhecimentos em proteção de dados pessoais, direito digital e segurança da informação. Além disso, habilidades de comunicação e gestão de crises são essenciais para desempenhar adequadamente suas funções.

Ainda, o exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade de classe ou afins.

O Encarregado e os Agentes de Tratamento

Agentes de Tratamento de Pequeno Porte

Agentes de tratamento de pequeno porte, como microempresas, empresas de pequeno porte e startups, são dispensados da responsabilidade de indicar um encarregado para lidar com a proteção de dados pessoais. Entretanto, tais agentes devem disponibilizar um canal de comunicação com o titular de dados.

De qualquer forma, a nomeação de um encarregado pelo tratamento de dados pessoais representa uma boa prática em termos de medidas organizacionais relativas à um programa de governança em privacidade e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Operadores

Também é facultativa a indicação de encarregado por operadores, isto é, pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Entretanto, da mesma forma que ocorre com Agentes de Tratamento de Pequeno Porte, a nomeação de um encarregado pelo tratamento de dados pessoais é considerada política de boas práticas de governança e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Pessoas Jurídicas de Direito Público

No caso de pessoas jurídicas de direito público, a designação do encarregado é obrigatória para garantir a transparência e a conformidade com a LGPD. Esses encarregados têm um papel crucial na implementação e fiscalização das práticas de proteção de dados, sendo responsáveis por atender às demandas dos titulares e da ANPD, devendo recair a indicação, preferencialmente, sobre servidores ou empregados públicos detentores de reputação ilibada.

Da Identidade e das Informações de Contato do Encarregado

A identidade e as informações de contato do encarregado devem ser disponibilizadas publicamente, preferencialmente nos sites das organizações. Se o encarregado for pessoa física, deve-se divulgar o nome completo. Se for pessoa jurídica, a razão social da empresa e o nome completo do responsável devem ser informados. Em ambos os casos, é necessário divulgar os meios de comunicação para que os titulares possam exercer seus direitos e a ANPD possa fazer contato. Isso garante transparência e facilita a comunicação com os titulares de dados pessoais, permitindo-lhes exercer seus direitos garantidos pela LGPD.

A Avinto oferece profissionais experientes para atuarem como DPO as a Service, ajudando empresas a cumprir essas exigências com eficiência e transparência.

Do Conflito de Interesse

É crucial que o encarregado exerça suas funções com independência e sem conflitos de interesse. Isso significa que o encarregado não deve ter outras responsabilidades ou vínculos que possam comprometer sua capacidade de garantir a proteção dos dados pessoais de forma imparcial e eficiente.

Importância do Encarregado pelo Tratamento de Dados Pessoais (DPO) para a Conformidade com a LGPD

A presença de um encarregado bem qualificado é fundamental para garantir que a organização cumpra os requisitos da LGPD. Este profissional atua de forma preventiva, identificando riscos e implementando medidas para mitigar possíveis incidentes de segurança. Ademais, ao promover uma cultura de privacidade, o encarregado ajuda a construir a confiança dos clientes e parceiros, o que pode se traduzir em vantagem competitiva para a empresa.

Conclusão

O encarregado pelo tratamento de dados pessoais (DPO) desempenha um papel vital na conformidade com a LGPD. Sua atuação abrange desde a orientação interna até a comunicação com a ANPD, passando pelo atendimento aos titulares de dados. Para que uma organização esteja realmente em conformidade com a LGPD, a presença de um encarregado bem preparado e proativo é imprescindível.

Ademais, implementar um programa eficaz de governança em privacidade é essencial para cumprir a LGPD e proteger os dados pessoais. Para consultores e empresas de pequeno e médio porte, um bom software de LGPD pode ser uma ferramenta valiosa, simplificando a gestão de dados e garantindo a conformidade com as normas. Além disso, a consultoria especializada pode oferecer orientações e suporte na elaboração e implementação de políticas de privacidade robustas, ajudando as empresas a mitigar riscos e responder adequadamente às demandas regulatórias e dos titulares de dados.

Para mais informações sobre a LGPD e a atuação do encarregado, consulte a Autoridade Nacional de Proteção de Dados (ANPD) e outros sites especializados em proteção de dados.

---

Fontes:

• Lei Geral de Proteção de Dados – LGPD
• Autoridade Nacional de Proteção de Dados – ANPD
• Documentos e Publicações da ANPD