Um dos passos mais importantes para se adequar à Lei Geral de Proteção de Dados é nomear um Encarregado de Proteção de Dados.

Essa função é uma das grandes novidades que a lei traz e está prevista em seu art. 41.

Todavia, com tantos atores envolvidos no processo de tratamento de dados, pode não ser tão simples identificar e entender o papel do Encarregado de proteção de dados.

Pensando nisso, a Legalcloud preparou esse post completo para te auxiliar.

Buscando mais tranquilidade na hora de contar seus prazos? Experimente a Calculadora de Prazos Processuais da Legalcloud e diminua os riscos de perder um prazo!

Quem é o encarregado da proteção de dados na LGPD?

O encarregado da proteção de dados é a pessoa indicada pelo controlador ou operador de dados.

Em resumo, sua atuação serve como uma ponte entre as partes envolvidas no tratamento de dados: os agentes de tratamento, o titular dos dados e a ANPD.

Fique por dentro do que é, de fato, o tratamento de dados e como fazê-lo conforme a LGPD!

Relembre quem são os agentes de tratamento:

  • Controlador: é quem define os parâmetros do processo de tratamento de dados, tomando as decisões do que deve ser feito.
  • Operador: é quem irá, de fato, realizar as operações de tratamento de dados definidas.

Ambos podem ser pessoas naturais ou jurídicas, de direito público ou privado.

Vale lembrar que não há nada que impeça o controlador de exercer as duas funções, tornando-o, também, operador. 

Se você se deparar com o termo “DPO”, não estranhe! A sigla significa “data protection officer” e tem origem no Regulamento Europeu de Proteção de Dados (General Data Protection Regulation).

A GDPR inspirou a LGPD, e o termo “DPO” foi introduzido na legislação nacional simplesmente como “encarregado de proteção de dados”.

Ambos auxiliam as empresas que têm contato com dados pessoais em relação ao cumprimento das obrigações legais relacionadas à privacidade. 

[Confira aqui nosso guia super completo das 10 bases legais da LGPD]

Para que serve o Encarregado de Proteção de Dados Pessoais?

O encarregado de proteção de dados deve monitorar as atividades de tratamento de dados da empresa, de forma a garantir que elas estejam em conformidade com a LGPD e boas práticas.

Nesse sentido, todas as suas decisões e instruções devem passar primeiro para o controlador, uma vez que ele é o responsável pelas decisões envolvendo o processo de proteção de dados.

É importante lembrar que o respeito a essa hierarquia é fundamental, visto que ações em desconformidade com a LGPD podem resultar em sanções milionárias.

Portanto, toda empresa que desempenha alguma atividade em qualquer parte do processo de tratamento de dados deve ter um encarregado de proteção de dados (DPO).

A única exceção está prevista no parágrafo terceiro do art. 41.

O artigo dispõe a possibilidade da ANPD dispensar a indicação do encarregado, a depender da natureza e porte da empresa, bem como o volume de dados tratados.

Ao definir seu encarregado de proteção de dados (DPO), é preciso identificá-lo e deixar as formas de contato divulgadas publicamente, de forma clara e objetiva.

Não sabe como fazer isso? Acesse nosso modelo de Política de Privacidade e descubra como!

Quem pode ser o encarregado de proteção de dados?

O encarregado da proteção de dados pode ser qualquer pessoa física ou jurídica que domine a LGPD.

Isso se deve ao fato de que a Medida Provisória nº 869 e posteriormente a Lei nº 13.853/2019 suprimiram a palavra “natural” do texto original da LGPD.

Agora, como a lei trata apenas de “pessoa indicada pelo operador” (art. 5º, VIII), o leque de possibilidades se abriu.

[Quer saber os 11 princípios da LGPD? Nosso post traz tudo que você precisa saber sem enrolação]

Assim, pessoas naturais ou jurídicas, empresas, grupos de trabalho etc podem exercer a função de encarregado de proteção de dados ou DPO.

Também não há nenhuma restrição legal sobre a relação do encarregado com a empresa: ele pode ser tanto uma pessoa física ou jurídica interna ou externa à organização.

Sem tempo pra visitar nosso guia completo? Acesse nossa tabela completa com as 10 bases legais da LGPD!

Vale lembrar que não é mais necessário que o encarregado de proteção de dados tenha conhecimentos jurídico-regulatórios e seja capaz de prestar serviços especializados em proteção de dados.

O parágrafo quarto do art. 41, que previa essa exigência, foi vetado pela Lei nº 13.853/2019.

Apesar de não haver mais exigências quanto à qualificação profissional do encarregado ou DPO, é preciso que ele tenha algumas habilidades para o bom exercício da função.

Dentre elas, o domínio da LGPD é primordial, já que ela tem o papel principal na disciplina do tratamento de dados no nosso país.

Já viu por que o advogado deve aprender sobre proteção de dados e a LGPD?

Quais são as funções de um encarregado de proteção de dados?

O encarregado de proteção de dados (DPO) tem como principal função ser um elo entre as partes envolvidas no tratamento de dados, como você já viu.

[Confira nosso passo a passo super prático para você fazer uma Política de Privacidade]

Essa função deve ser desempenhada de forma acessível, gratuita, clara e pública.

O art. 41, § 2º, elenca algumas das atividades do encarregado de proteção de dados:

“I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”

Esse rol exemplificativo, em resumo, define que o encarregado de proteção de dados (DPO) deve fiscalizar o tratamento de dados e reportar à autoridade eventuais desconformidades.

[Já fez sua Política de Cookies em conformidade com a LGPD? Veja nosso passo a passo.]

É preciso frisar que o encarregado de proteção de dados não trata os dados, mas apenas estimula o processo dentro das disposições da LGPD.

Para tal, o encarregado (DPO) deve ter acesso a todas as informações sobre as atividades envolvendo dados pessoais e o ciclo de vida destes.

Implementando a LGPD? Confira nosso post para não esquecer de nada!

Assim, poderá orientá-los para a compliance com a LGPD.

O Encarregado de Proteção de Dados deve ter independência

É importante que o encarregado de proteção de dados (DPO) tenha independência no desempenho de suas obrigações, de forma a não comprometer a proteção de dados.

Vale destacar também que o encarregado de proteção de dados não pode ocupar outras posições que o comprometa na fiscalização do tratamento de dados.

[Querendo entender o tratamento de dados? Esse post é pra você.]

Portanto, ele não pode assumir papéis que o façam tomar as decisões relativas ao tratamento de dados, como determinar a finalidade com que os dados serão coletados.

Lembrando que o encarregado de proteção de dados (DPO) não pode se confundir com o operador ou o controlador dos dados!

O encarregado pode ser responsabilizado por tratamento irregular de dados?

Sim, mas sua responsabilização só ocorre em casos específicos.

Falando nisso, já há decisões judiciais envolvendo a LGPD.

O tratamento de dados irregular está disposto no art. 44, que diz:

“Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I – o modo pelo qual é realizado;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.”

[Sabendo as bases legais da LGPD, fica mais fácil implementá-la]

Percebe-se que o encarregado de proteção de dados (DPO) não é responsável pelo tratamento irregular dos dados, ficando restrita aos agentes de tratamento.

Em regra, a responsabilidade civil e administrativa relativa à proteção de dados é da empresa.

[A gente preparou uma tabela com os tipos de cookies para te ajudar na hora de fazer sua política de cookies]

Assim, a responsabilidade do encarregado de proteção de dados limita-se ao exercício adequado de suas funções

Se no desempenho de suas obrigações o encarregado de proteção de dados causar dano aos titulares dos dados, seja por ação ou omissão dolosa, ele será responsabilizado.

Encontramos essa previsão no art. 43, III, que exonera os agentes de tratamento da responsabilidade quando “o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.”

Temos aí mais um motivo para o advogado aprender sobre a LGPD e proteção de dados.

Lembrando que o contrato assinado pelo encarregado de proteção de dados (DPO) para assumir tal função pode prever outras obrigações, e a depender da extensão destas, pode responsabilizá-lo também.

Portanto, o contrato firmado entre o encarregado de proteção de dados e a empresa deve ser bastante claro quanto aos limites de sua atuação.

Quer saber mais sobre a LGPD?

Você já entendeu quem é o encarregado de proteção de dados (DPO) segundo a LGPD, mas só isso não é o suficiente!

O encarregado de proteção de dados é apenas um dos atores envolvidos no processo de tratamento de dados.

Além disso, definir um encarregado de proteção de dados ou DPO é só um dos passos para se adequar à LGPD. Entenda em nosso passo a passo como implementá-la.

Além disso, é preciso que você tenha uma Política de Privacidade orientada pela LGPD e aqui no nosso post você não vai esquecer de nenhum ponto!

E pra deixar seu site bem completo em relação à proteção de dados, você pode acessar nosso guia para facilitar na hora de redigir sua Política de Cookies.

Já viu como a Legalcloud tem sempre um post para te auxiliar, né?

Conte também com a nossa Calculadora de Prazos Processuais para auxiliar sua rotina, com as suspensões municipais de mais de 200 comarcas e seus provimentos específicos.

E aí, já definiu seu Encarregado de Proteção de Dados (DPO)?

Share via