LGPD em vigor: como escolher o Encarregado ou DPO?
Com a Lei Geral de Proteção de Dados (LGPD, Lei n.º 13.709/2018) já em vigor e demandando providências imediatas, muitas empresas têm optado por terceirizar a sua implementação.
Em razão da natureza contínua das medidas exigidas pela lei, assim como as severas penalidades que serão aplicadas a quem as descumprir, a LGPD fez surgir uma função nova nas empresas: o diretor de proteção de dados, ou Data Protection Officer (DPO).
Ele é o encarregado pelo tratamento dos dados pessoais que é realizado pela empresa, sendo também o responsável pela comunicação entre o controlador (empresa), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD, a entidade responsável pela fiscalização da LGPD e aplicação das penalidades cabíveis que estão nela determinadas).
Entre o encarregado e o controlador, pode haver, também, o operador, que realiza o tratamento de dados pessoais em nome do controlador.
Assim, o encarregado deve estar em constante sinergia com o controlador, o operador e também com a ANPD e os titulares dos dados.
Uma vez que a LGPD não faz nenhuma exigência no sentido de o encarregado ser necessariamente um funcionário do controlador dos dados, várias empresas têm terceirizado esta função, contratando profissionais especializados em Direito e/ou Segurança da Informação para ocuparem a função de DPO.
Além disso, também não há quaisquer empecilhos para que o DPO seja uma pessoa jurídica, razão pela qual é possível contratar um escritório como encarregado.
Afinal, trata-se de tarefa que requer um conhecimento especializado da LGPD, juntamente com experiência e visão estratégicas para trabalhar em conjunto com o controlador e operador, e atuar como frente de comunicação perante os clientes, consumidores e titulares dos dados tratados.
A designação do encarregado/DPO precisa ser feita diretamente pela empresa controladora, não podendo ser feita pelo operador.
É, então, uma decisão estratégica que precisa ser tomada pela diretoria da empresa, levando em consideração o custo-benefício e a responsabilidade demandada para essa atribuição.
É verdade que o encarregado não pode ser civilmente responsabilizado – apenas o controlador e operador respondem pelos danos morais ou patrimoniais advindos do descumprimento da LGPD.
No entanto, como ele está na linha de frente de comunicação com os titulares dos dados tratados e com a ANPD, são dele as principais tarefas que garantem o compliance da empresa com a Lei.
Então, como escolher quem ocupará esta função?
- É possível escolher alguém conhecido e que já tenha a confiança da empresa. Para isto, deve-se levar em consideração que, ao designar um funcionário interno para a função, pode ser preciso investir em sua formação;
- Uma outra possibilidade é contratar alguém especializado (com formação técnica ou acadêmica em Segurança da Informação ou Tecnologia da Informação, cientista de dados, ou advogado especializado em LGPD), no regime de contrato de trabalho, para desempenhar as funções – o que traz a vantagem de ter um expert operando em tempo integral dentro da empresa, exigindo, de outro lado, remuneração apropriada e todas as demais obrigações de natureza trabalhista e previdenciária;
- Por fim, a empresa pode contratar um profissional autônomo ou uma empresa especializada, mediante contrato de prestação de serviços. Neste caso, é importante escolher uma pessoa ou organização que tenha conhecimento não apenas sobre o aspecto referente ao uso e tratamento dos dados, mas também sobre o aspecto jurídico.
Cada empresa, conforme sua realidade, seu ramo de negócio e seu orçamento dedicado à implementação da LGPD, deve tomar sua decisão sopesando todos estes aspectos.
Recentemente, a Angare e Angher lançou o e-book “LGPD PARA EMPRESAS: O QUE SABER E COMO IMPLANTAR”, com uma sugestão de passo a passo para adequação à LGPD que as empresas podem seguir. Ele pode ser baixado clicando aqui. Este e-book tem teor informativo e não equivale a consulta jurídica, podendo, porém, ser um ponto de partida para empresas que ainda não iniciaram seu processo de adequação à Lei Geral de Proteção de Dados.
