Artigos / Na mídia

Voltar
Publicações - 27/01/23

Você sabe quem é o Encarregado de Dados Pessoais (DPO) e quais são suas atribuições?

A Lei Geral de Proteção de Dados – LGPD, que dispõe sobre o tratamento de dados pessoais por pessoas jurídicas públicas ou privadas, determina que as empresas tenham um Encarregado de dados, também conhecido como DPO (sigla inglesa para Data Protection Officer), definido pela legislação como pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD[1].

O Encarregado pode ser uma pessoa física ou jurídica, como um colaborador ou prestador de serviços externo, ou ainda um comitê multidisciplinar, desde que possua domínio sobre o tema de privacidade e proteção de dados.

Mas atenção, o DPO deve atuar com autonomia e independência, sendo assim, não é adequado que acumule funções dentro de uma mesma empresa, especialmente, aquelas que possam gerar conflito de interesse!

Portanto, para evitar isso, é preciso entender as atribuições do Encarregado previstas na LGPD[2]:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências: o DPO atua como elo entre os titulares (que podem ser clientes, colaboradores, prestadores de serviços ou outros) e a empresa que trata os dados e, nesse sentido, é responsável por receber e responder reclamações, comunicações e solicitações dos titulares de dados, inclusive em relação ao exercício de seus direitos, os quais estão previstos no artigo 18 da referida Lei;

 

  • Receber comunicações da autoridade nacional e adotar providências: cabe ao DPO, também, o diálogo com a autoridade responsável por zelar, implementar e fiscalizar o cumprimento da LGDP no Brasil;

 

  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais: deve o Encarregado disseminar boas práticas sobre o tema de proteção de dados pessoais na organização, além de atuar de forma consultiva, sempre que solicitado seu aconselhamento; e

 

  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares: novas atribuições que surgirem em decorrência de regulamentação do tema pela ANPD, ou mesmo por determinação da organização na qual o DPO atua.

Este último item merece destaque, pois, no mercado brasileiro, o Encarregado tem desempenhado as seguintes funções:

  • Identificar obrigações de privacidade da empresa;
  • Identificar riscos de privacidade do negócio, dos funcionários e dos clientes;
  • Identificar a documentação existente, as políticas e procedimentos;
  • Criar, revisar e implementar políticas e procedimentos do programa de privacidade;
  • Recomendar práticas de privacidade desde a concepção para o desenvolvimento de novos produtos e serviços (privacy by design);
  • Conduzir treinamentos de privacidade;
  • Realizar auditorias de privacidade;
  • Efetuar a gestão dos fornecedores em termos de privacidade;
  • Estabelecer métricas do programa de privacidade;
  • Monitorar continuamente o programa de privacidade;
  • Atuar em conjunto com as equipes de Tecnologia e Segurança da Informação;
  • Participar de Respostas a Incidentes de Segurança, dentre outros.

Neste contexto, o perfil geral do encarregado de dados é:

  • Domínio sólido sobre as legislações de privacidade e proteção de dados, uma vez que não é apenas a LGPD que trata sobre o tema no ordenamento jurídico brasileiro;
  • Senso crítico;
  • Conhecimento sobre tecnologia e segurança da informação;
  • Capacidade de gestão; e
  • Ampla compreensão da estrutura e funcionamento do negócio.

Cabe ainda esclarecer que a LGPD estabelece que a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador[3] e que ele possui responsabilidade civil pela prática de seus atos.

Em vista disso, é adequado que as empresas insiram em seu site o nome do DPO, bem como seu contato, que pode ser um endereço de e-mail, por meio do qual os titulares ou autoridade poderão contatá-lo, se necessário e tenham os termos de sua nomeação, contrato e descrição do cargo muito bem definidos com ele.

Por fim, mas não menos importante, merece atenção também, o fato de que não são todas as empresas que estão obrigadas a nomear um DPO, o que não significa que não precisam estar adequadas à LGPD, mas tão somente uma flexibilização da lei.

Por meio da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, a ANPD (Autoridade Nacional de Proteção de Dados) dispensou os agentes de pequeno porte da indicação de um Encarregado, desde que cumpridos os requisitos previstos no regulamento.

Para maiores detalhes sobre o tema acesse no nosso e-book para Agentes de Pequeno Porte: <https://dtadvogados.com.br/_2019/wp-content/uploads/2022/02/Resolu%C3%A7%C3%A3o-da-ANPD-flexibiliza-exig%C3%AAncias-da-LGPD-para-Pequeno-Porte.pdf>

De toda forma, o Agente de Pequeno Porte pode nomear um DPO, caso queira. Esta ação será considerada pela ANPD como boa prática e pode, como consequência, reduzir o valor de eventual sanção aplicável pela autoridade.

Caso você tenha dúvidas sobre esse assunto ou queria nos consultar sobre as soluções que temos para o seu negócio, estamos prontos para ajudá-lo, basta entrar em contato com a equipe de Privacidade e Proteção de Dados Pessoais do Duarte Tonetti Advogados!

 

[1] Art. 5º, VIII, Lei nº 13.709, de 14 de agosto de 2018 – LGPD.

[2] Art. 41, §2º, I a IV, Lei nº 13.709, de 14 de agosto de 2018 – LGPD.

[3] Art. 41, §1º, Lei nº 13.709, de 14 de agosto de 2018 – LGPD.

Profissionais
Relacionados


Warning: foreach() argument must be of type array|object, bool given in /home/storage/d/bf/0f/site1391086528/public_html/_2019/wp-content/themes/duartetonetti/single-insights.php on line 87

Áreas de Atuação
Relacionadas

Proteção de Dados

Cadastre-se e receba nossos comunicados.

Selecionar áreas de atuação de interesse