Ferraresi Cavalcante- Ferraresi Cavalcante
LGPD e a figura do Encarregado
A Lei Geral de Proteção de Dados prevê a existência de agentes de tratamento de dados pessoais. As duas principais figuras são a do controlador e do encarregado, sendo que esse último será indicado pelo primeiro.
O encarregado, também conhecido como DPO (Data Protection Officer), sigla que deriva da terminologia adotada pela legislação europeia, tem como função atuar como o canal de comunicação perante os usuários titulares dos dados pessoais e autoridades governamentais controladoras, e de forma geral, prestar assistência sobre as práticas de tratamento de dados, bem como, verificar se estas estão em conformidade com a legislação e políticas internas.
O art. 41, da lei federal 13.709/18, em seu parágrafo segundo, estabelece as atividades do encarregado:
“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”.
Por sua vez, o rol de atividades não se limita a apenas as quatro listadas acima. As funções do encarregado são bem mais amplas, e consistem em:
Interagir com os titulares de dados e com a Autoridade Nacional de Proteção de Dados;
Orientar os colaboradores na empresa/entidade onde é o Encarregado;
Executar as atribuições determinadas em normas complementares;
Assessorar os responsáveis pelo tratamento de dados pessoais na elaboração de relatórios de impacto à proteção de dados pessoais;
Monitorar a conformidade das atividades de tratamento de dados pessoais;
Cooperar com a Autoridade Nacional de Proteção de Dados, sempre que demandado;
Recomendar a realização de relatórios de impacto à proteção de dados pessoais e estipulara salvaguardas para mitigar quaisquer riscos aos direitos dos titulares dos dados pessoais;
Decidir sobre a adequação dos relatórios de impacto à proteção de dados.
Observa-se que são muitas as responsabilidades do Encarregado, e sua designação deve ser basear em suas qualidades profissionais, levando em consideração o seu conhecimento da legislação, e principalmente, nas práticas de tratamento de dados pessoais.
Por fim, importante ainda destacar, que o encarregado, tanto pode ser um membro do quadro de colaboradores da empresa, ou um terceiro contratado, podendo ser, inclusive, uma pessoa jurídica.