Quem é o encarregado da proteção de dados na LGPD?

O encarregado é uma pessoa de confiança que foi indicada pelo controlador ou operador de dados, para atuar como meio de comunicação entre o controlador e as partes envolvidas no tratamento de dados, que são: os agentes de tratamento, o titular dos dados e a ANPD. 

Se surgir o termo DPO, não se espante! A sigla significa “data protection officer” e é o nome utilizado na Europa, que também possui uma lei que protege os dados pessoais, tornando a nomenclatura popular no Brasil. 

O papel do DPO é monitorar as atividades de tratamento de dados da empresa, escritório ou estabelecimento, de forma a assegurar que estejam em conformidade com a LGPD e seus princípios. 

Mas quais as funções do encarregado? O art. 41, § 2º da  LGPD esclarece algumas das atividades do DPO, sendo elas: a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; b) receber comunicações da autoridade nacional e adotar providências; c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, dentre diversas outras. 

Ou seja, as atividades elencadas afirmam que o encarregado deve fiscalizar o tratamento de dados e reportar à autoridade e controlador eventuais desconformidades. É imprescindível que o DPO tenha independência no desempenho de suas obrigações para não prejudicar a proteção dos dados. Lembrando também que o encarregado não pode, em hipótese alguma, ocupar outras posições que o comprometam na fiscalização do tratamento de dados. 

E se ocorrer um erro no tratamento de dados? O DPO (encarregado) será responsabilizado? 

O cumprimento das obrigações impostas pela lei cabem apenas aos agentes de tratamento e não ao encarregado. O DPO não possui atividades decisórias em relação aos agentes de tratamento, pois cabe a ele orientar, emitir pareceres e aconselhar, mas não decidir. Desta forma, a responsabilidade deve ser do agente de tratamento (controlador ou operador), salvo se o encarregado deixou de agir conforme as boas práticas de suas funções, o que deverá ser comprovado. 

O DPO é muito importante para auxiliar as empresas a manterem políticas e práticas de proteção de dados. Mais do que isso, ele deve garantir que a lei saia do papel para ser vivenciada na prática, gerando a cultura da proteção de dados dentro das empresas e instituições públicas! 

 

REFERÊNCIAS:

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

https://www.migalhas.com.br/depeso/280808/o-data-protection-officer—dpo