A LGPD veio para ficar e, sem dúvidas, é um grande avanço para o Brasil, que já vem passando por transformações comportamentais e culturais na sociedade e nas organizações.
Nos outros 2 (dois) artigos já falamos sobre os Impactos da LGPD sobre o direito à privacidade dos cidadãos e LGPD na Prática – Processos e Tecnologia da Informação e, neste, nosso objetivo é demonstrar qual é o papel do Encarregado de Proteção de Dados Pessoais, também conhecido como Data Protection Officer (DPO), na adequação e condução da LGPD nas organizações.
Para adequação à LGPD há uma clara necessidade de criar uma equipe multidisciplinar, um comitê, visando dar continuidade ao programa, gerenciando todo o tratamento de dados pessoais e a segurança das informações das organizações, equipe essa liderada pelo encarregado.
Quem deve ser o Encarregado
Para melhor definição do papel do encarregado é necessário entender os conceitos do controlador e operador.
O Controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais” e o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O encarregado, é a pessoa indicada pelo controlador para atuar como canal de comunicação entre ele, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD). Podemos dizer que o encarregado é, sem dúvida, um dos papéis mais importantes e desafiadores em todo esse novo processo. Cabe a ele liderar todo o projeto de adequação à LGPD e conduzir a continuidade do programa. Como é um papel estratégico, ele deve ter uma visão sistêmica, ter um bom conhecimento do negócio, das necessidades dos processos e dos dados pessoais envolvidos no tratamento.
Atividades do Encarregado
- Aceitar reclamações e comunicações dos titulares;
- Receber comunicações da ANPD (Autoridade Nacional de Proteção de Dados) e adotar providências;
- Orientar os colaboradores, funcionários e os contratados da organização a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A importância do Encarregado
O encarregado deve centralizar a discussão sobre a conformidade à lei e coordenar a implementação de melhorias, bem como acompanhar a evolução do tema junto da organização, do mercado e da sociedade, tendo uma atuação relevante na fase de adequação e adaptação, como também no que precisa ser atualizado no programa futuramente.
Tem o papel de liderar uma equipe de profissionais e é primordial que conheça os processos envolvidos nos tratamentos das informações, as normas e melhores práticas, tenha o controle do ciclo de vida dos dados dentro da organização, realize análise de riscos e tenha pleno domínio em relação à legislação envolvida para que a organização esteja sempre em compliance legal.
É sempre bom lembrar que o encarregado deve ter apoio irrestrito da alta gestão da organização, pois só assim terá autonomia necessária para as tomadas de decisão.
Critérios para definição se a organização precisará de um encarregado
- Se a organização é pública ou privada;
- Se trata um volume expressivo de dados pessoais;
- Se possui um modelo de negócios com bastante compartilhamento de dados pessoais com terceiros (terceirização ou parcerias);
- Se trata dados pessoais com de titular consumidor final (relação mais B2C);
- Se trata dados pessoais sensíveis;
- Se realiza transferência internacional de dados pessoais;
- Se faz uso de tecnologias disruptivas;
- Se utiliza bases legais em que há necessidade de realizar relatórios de impacto de proteção de dados pessoais;
- Se utiliza muitos recursos de mobilidade, nuvem, APIs ou que possam ter um aumento de riscos de ciber segurança em termos de perímetro.
Designação do Encarregado (art. 37)
O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:
- O tratamento for efetuado por uma autoridade ou organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
- As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controle regular e sistemático dos titulares dos dados em grande escala; ou
- As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento de categorias especiais de dados e de dados pessoais relacionados com condenações penais e infrações.
No Brasil toda a administração pública tem que ter encarregado.
O papel do Encarregado (art. 39)
O papel do encarregado é de grande responsabilidade e tem, pelo menos, as seguintes funções:
- Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou estados- Membros;
- Controlar a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados pessoais, e as auditorias correspondentes;
- Aconselhar, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização.
- Cooperar com a ANPD (Autoridade Nacional de Proteção de Dados);
- Atuar como ponto de contato de controle para a ANPD sobre questões relacionadas com o tratamento, incluindo a consulta prévia e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.
Relação entre a ANPD e o Encarregado
A Autoridade Nacional de Proteção de Dados (ANPD) poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de indicação, conforme a natureza e o porte da organização ou o volume de operações de tratamento de dados.
Necessidade de uma equipe multidisciplinar
É importante destacar que, visando o sucesso dos projetos de adequação, é de fundamental importância a criação de uma equipe multidisciplinar, um comitê, que abranja quatro grandes grupos de conhecimento a saber: gestão, segurança da informação, tecnologia da informação e jurídica. Podemos dizer que o encarregado não é um “Super-herói” ou um “Ninja”, pois tudo isso dificilmente, será encontrado em uma só função ou pessoa.
É necessário, e de fundamental importância, a integração das áreas e dos profissionais que atuam como pontos focais para que se alcance o objetivo proposto.
Conclusão
A LGPD traz consigo uma obrigação para que as organizações se estruturem, criando uma equipe eficaz que saberá alinhar o seu negócio ao compliance. Dessa forma, ficam claros o esforço e a complexidade a ser enfrentada pelo profissional que assumirá a função criada pela lei: o encarregado de proteção dos dados pessoais.
Caberá ao encarregado alinhar os conhecimentos das áreas de gestão (mapas de dados, capacitação de pessoas), segurança da informação (mapas de tratamento, risco, ciclo de vida, compliance às normas, melhores práticas), tecnologia da informação (ferramentas e infraestrutura eficientes) e jurídica (compliance à LGPD e as demais leis do país).
Este profissional, portanto, deve ter uma visão estratégica do negócio e do fluxo informacional, para que possa adequar as necessidades da empresa, às exigências da legislação e aos recursos tecnológicos.
Por fim, podemos dizer que todo o esforço do encarregado no projeto de adequação da LGPD e posterior condução do programa, de fato, é um grande desafio e uma grande oportunidade de avanço do profissional, na área de proteção de dados pessoais e segurança da informação.
