Quem é o Encarregado pelo Tratamento de Dados Pessoais (DPO)?

O Encarregado pelo Tratamento de Dados Pessoais é o profissional designado pela organização para atuar como ponto de contato entre a empresa, os titulares dos dados e a ANPD. Importante salientar que não é do encarregado a responsabilidade, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador.

Atribuições do Encarregado pelo Tratamento de Dados Pessoais (DPO)

1. Aceitar Reclamações e Comunicações dos Titulares:
   • O encarregado deve receber e responder a reclamações e comunicações dos titulares de dados, prestando os esclarecimentos necessários e tomando as providências cabíveis.
2. Receber Comunicações da ANPD:
   • O encarregado deve receber e responder às comunicações da ANPD, adotando as medidas necessárias para atender às solicitações e fornecer as informações pertinentes.
3. Orientar Funcionários e Contratados:
   • É responsabilidade do encarregado orientar os funcionários e contratados do agente de tratamento sobre as práticas adequadas de proteção de dados pessoais.
4. Executar Outras Atribuições:
   • O encarregado deve executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

Atribuições Adicionais do Encarregado pelo Tratamento de Dados Pessoais (DPO)

O encarregado deve prestar assistência e orientação ao agente de tratamento nas seguintes áreas:

1. Registro e Comunicação de Incidente de Segurança.
2. Registro das Operações de Tratamento de Dados Pessoais.
3. Relatório de Impacto à Proteção de Dados Pessoais.
4. Supervisão e Mitigação de Riscos.
5. Medidas de Segurança: Técnicas e administrativas para proteger dados pessoais.
6. Políticas Internas: Assegurar o cumprimento da LGPD e regulamentações da ANPD.
7. Instrumentos Contratuais: Relacionados ao tratamento de dados pessoais.
8. Transferências Internacionais de Dados.
9. Regras de Boas Práticas e Governança.
10. Design de Produtos e Serviços: Compatíveis com os princípios da LGPD, incluindo privacidade por padrão e limitação da coleta de dados.
11. Decisões Estratégicas: Relativas ao tratamento de dados pessoais.

Da Indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO)

A indicação do encarregado deve ser formalizada por um documento escrito, datado e assinado pelo agente de tratamento, detalhando suas atividades e formas de atuação. Isso é essencial para assegurar transparência e clareza na designação do encarregado, conforme estabelecido pelo Art. 3º da regulamentação da ANPD. O documento deve estar disponível para apresentação à ANPD quando solicitado.

Qualificações do Encarregado

Embora a LGPD não exija certificações específicas para o encarregado de proteção de dados, é recomendável que ele possua conhecimentos em proteção de dados pessoais, direito digital e segurança da informação. Além disso, habilidades de comunicação e gestão de crises são essenciais para desempenhar adequadamente suas funções.

Ainda, o exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade de classe ou afins.

O Encarregado e os Agentes de Tratamento

Agentes de Tratamento de Pequeno Porte

Agentes de tratamento de pequeno porte, como microempresas, empresas de pequeno porte e startups, são dispensados da responsabilidade de indicar um encarregado para lidar com a proteção de dados pessoais. Entretanto, tais agentes devem disponibilizar um canal de comunicação com o titular de dados.

De qualquer forma, a nomeação de um encarregado pelo tratamento de dados pessoais representa uma boa prática em termos de medidas organizacionais relativas à um programa de governança em privacidade e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Operadores

Também é facultativa a indicação de encarregado por operadores, isto é, pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Entretanto, da mesma forma que ocorre com Agentes de Tratamento de Pequeno Porte, a nomeação de um encarregado pelo tratamento de dados pessoais é considerada política de boas práticas de governança e pode servir como fator de minoração das sanções aplicadas pela ANPD.

Pessoas Jurídicas de Direito Público

No caso de pessoas jurídicas de direito público, a designação do encarregado é obrigatória para garantir a transparência e a conformidade com a LGPD. Esses encarregados têm um papel crucial na implementação e fiscalização das práticas de proteção de dados, sendo responsáveis por atender às demandas dos titulares e da ANPD, devendo recair a indicação, preferencialmente, sobre servidores ou empregados públicos detentores de reputação ilibada.

Da Identidade e das Informações de Contato do Encarregado

A identidade e as informações de contato do encarregado devem ser disponibilizadas publicamente, preferencialmente nos sites das organizações. Se o encarregado for pessoa física, deve-se divulgar o nome completo. Se for pessoa jurídica, a razão social da empresa e o nome completo do responsável devem ser informados. Em ambos os casos, é necessário divulgar os meios de comunicação para que os titulares possam exercer seus direitos e a ANPD possa fazer contato. Isso garante transparência e facilita a comunicação com os titulares de dados pessoais, permitindo-lhes exercer seus direitos garantidos pela LGPD.

A Avinto oferece profissionais experientes para atuarem como DPO as a Service, ajudando empresas a cumprir essas exigências com eficiência e transparência.

Do Conflito de Interesse

É crucial que o encarregado exerça suas funções com independência e sem conflitos de interesse. Isso significa que o encarregado não deve ter outras responsabilidades ou vínculos que possam comprometer sua capacidade de garantir a proteção dos dados pessoais de forma imparcial e eficiente.

Importância do Encarregado pelo Tratamento de Dados Pessoais (DPO) para a Conformidade com a LGPD

A presença de um encarregado bem qualificado é fundamental para garantir que a organização cumpra os requisitos da LGPD. Este profissional atua de forma preventiva, identificando riscos e implementando medidas para mitigar possíveis incidentes de segurança. Ademais, ao promover uma cultura de privacidade, o encarregado ajuda a construir a confiança dos clientes e parceiros, o que pode se traduzir em vantagem competitiva para a empresa.

Conclusão

O encarregado pelo tratamento de dados pessoais (DPO) desempenha um papel vital na conformidade com a LGPD. Sua atuação abrange desde a orientação interna até a comunicação com a ANPD, passando pelo atendimento aos titulares de dados. Para que uma organização esteja realmente em conformidade com a LGPD, a presença de um encarregado bem preparado e proativo é imprescindível.

Ademais, implementar um programa eficaz de governança em privacidade é essencial para cumprir a LGPD e proteger os dados pessoais. Para consultores e empresas de pequeno e médio porte, um bom software de LGPD pode ser uma ferramenta valiosa, simplificando a gestão de dados e garantindo a conformidade com as normas. Além disso, a consultoria especializada pode oferecer orientações e suporte na elaboração e implementação de políticas de privacidade robustas, ajudando as empresas a mitigar riscos e responder adequadamente às demandas regulatórias e dos titulares de dados.

Para mais informações sobre a LGPD e a atuação do encarregado, consulte a Autoridade Nacional de Proteção de Dados (ANPD) e outros sites especializados em proteção de dados.

Fontes:

• Lei Geral de Proteção de Dados – LGPD
• Autoridade Nacional de Proteção de Dados – ANPD
• Documentos e Publicações da ANPD

The post Encarregado pelo Tratamento de Dados Pessoais (DPO) appeared first on Avinto.

A Lei Geral de Proteção de Dados (LGPD) é uma legislação que trouxe importantes mudanças no tratamento de informações pessoais no Brasil. Entender os papéis dos diferentes atores envolvidos na LGPD é fundamental para cumprir as regras e garantir a privacidade dos dados pessoais. Neste artigo, vamos desvendar quem é quem na LGPD, quem é o controlador, operador e encarregado, explicando de forma simples, mas completa, para que todos possam compreender.

O que é o Controlador na LGPD?

O controlador é como o “chefão” dos dados. Ele é a pessoa ou empresa responsável por tomar as decisões sobre como os dados pessoais serão tratados. Assim como o operador, ele é um agente de tratamento. Pense nele como o capitão de um navio, definindo o rumo e as regras do jogo. O controlador é quem decide quais informações serão coletadas, por que serão coletadas e como serão usadas.

A definição legal de controlador se encontra no art. 5º, VI, da LGPD:

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais.

Papel do Controlador:

• Decidir o que fazer com os dados.
• Garantir que os dados sejam utilizados de maneira correta e segura.
• Comprovar que o consentimento do titular foi obtido com observância da lei.
• Respeitar os direitos das pessoas sobre seus dados.
• Elaborar relatório de impacto à proteção de dados pessoais.
• Comunicar à ANPD a ocorrência de incidentes de segurança.

Controladoria Conjunta e Controladoria Singular

Aqui entra um detalhe interessante. Às vezes, mais de uma pessoa ou empresa pode ser controladora dos mesmos dados, quando dois ou mais responsáveis determinam conjuntamente as
finalidades e os meios desse tratamento, e isso é chamado de controladoria conjunta. Por exemplo, se duas empresas por acordo entre si decidem como usar seus dados e para quais finalidades, elas são co-controladoras. Por outro lado, a controladoria singular é quando apenas uma pessoa ou empresa tem o controle total dos dados.

O que é o Operador na LGPD?

Agora, seguindo em nossa diferenciação do controlador, operador e encarregado, vamos falar sobre outro agente de tratamento, o operador. Ele é como o “mestre das tarefas”. O operador não decide o que fazer com os dados, mas é responsável por executar as ações determinadas pelo controlador. Imagine o operador como um marinheiro que segue as ordens do capitão.

A definição legal se encontra no art. 5º, inciso X da LGPD:

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Papel do Operador:

• Tratar os dados de acordo com as instruções do controlador.
• Garantir a segurança e a privacidade dos dados.
• Informar o controlador contratos com suboperador.

Suboperador

Em alguns casos, o operador pode precisar de ajuda para lidar com os dados. Nesse caso, ele pode contratar um suboperador. O suboperador é como um assistente do operador, auxiliando nas tarefas, mas sempre seguindo as regras do controlador.

O que é o Encarregado ou DPO na LGPD?

Agora, conheçamos o encarregado ou DPO (Data Protection Officer). Ele é como o “guardião dos dados”. O DPO é uma pessoa encarregada de garantir que o tratamento dos dados seja feito de acordo com a LGPD. Imagine-o como um vigilante que cuida para que todas as regras sejam seguidas.

Funções do DPO:

• Informar e aconselhar o controlador e o operador sobre as obrigações da LGPD.
• Monitorar o cumprimento da lei e as políticas de proteção de dados.
• Ser o ponto de contato entre o controlador, as autoridades e os titulares de dados.

O Cargo de DPO é Obrigatório?

A LGPD não estabeleceu circunstâncias específicas em que uma organização deva nomear um encarregado. Portanto, a norma geral é que toda organização deverá designar um indivíduo para desempenhar esse papel, principalmente nos casos em que o tratamento de dados é realizado por uma grande empresa ou envolve informações sensíveis. O DPO é como um super-herói da privacidade, garantindo que tudo esteja seguro.

O que é o DPO as a Service?

Aqui está uma dica importante: se uma empresa não quer ou não pode ter seu próprio DPO em tempo integral, ela pode usar o DPO as a Service. Isso é como alugar ou terceirizar um encarregado de proteção de dados para ajudar a cumprir as regras da LGPD.

Contrate um DPO Profissional

A LGPD é uma lei importante, e cumprir suas regras é fundamental para proteger a privacidade das pessoas e evitar problemas legais. Se você é um controlador ou operador e não tem um DPO, é uma boa ideia considerar a contratação de um profissional ou um serviço especializado.

Em resumo, na LGPD, o controlador decide, o operador executa e o DPO protege. Cada um tem um papel fundamental na garantia da privacidade dos dados. Lembre-se sempre de respeitar as regras da LGPD, pois a proteção de dados é uma responsabilidade de todos nós.

Para mais informações sobre a LGPD, você pode consultar sites confiáveis, como o site oficial da Autoridade Nacional de Proteção de Dados (ANPD) e o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.

Agora que você sabe quem é o Controlador, Operador e Encarregado na LGPD, fica mais fácil entender como a lei funciona e como ela protege os nossos dados pessoais.

The post Controlador, Operador e Encarregado (DPO) na LGPD appeared first on Avinto.