Quem é o encarregado ou DPO, na LGPD?

A cada dia aproxima-se a data para a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrar em vigência e muitas dúvidas a respeito de sua implementação ainda precisam ser respondidas. Dentre esses temas, se destaca as atribuições e especificidades da figura do Encarregado, também já designado de DPO (Data Protection Officer), em razão da influência europeia na lei brasileira.

A legislação brasileira define o Encarregado como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos danos e a Autoridade Nacional de Proteção de Dados (ANPD)”, conforme art. 5, inciso VIII, da LGPD.

Assim, de imediato percebe-se a importância dada ao Encarregado na política de proteção de dados, responsável pela integração segura de todos os agentes envolvidos no tratamento de dados.

Qual a diferença entre encarregado e controlador

O Controlador – quem pratica qualquer tipo de tratamento de dados – deverá indicar o Encarregado, que poderá ser uma pessoa natural ou mesmo uma empresa que se dedique à essa atividade.

Inicialmente, na redação original da lei, haveria a exigência de que o Encarregado fosse uma pessoa natural, não havendo a possibilidade de se indicar qualquer pessoa jurídica para exercer as atribuições de encarregado. No entanto, após as modificações legislativas, consolidou-se o texto que retirava da redação o termo ‘natural’ do inciso VIII do art. 5º da LGPD, indicando a autorização para que pessoas jurídicas assumam o papel de Encarregado.

A ampliação da natureza jurídica do Encarregado é importante pois, tendo em vista a obrigatoriedade da indicação por todas as pessoas que realizem tratamento de dados pessoais (art. 41 da LGPD), faz-se necessário a ampliação das possibilidade de atuação dessa nova figura do direito brasileiro, contribuindo inclusive para o sucesso da política de dados no país.

Atividades atribuídas ao encarregado

As atividades do Encarregado encontram-se expressas no art. 41 da LGPD, consistindo em:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Com a legislação atual, fica claro que apesar de descrita a missão do Encarregado, as atribuições e o seu modo de atuação deverão ser tratados por meio de regulamentação específica, inclusive a serem editados pela Autoridade Nacional de Proteção de Dados (artigos 41, §3º e 55-J da LGPD).

Uma vez indicado, a lei prevê que as informações de contato do Encarregado deverão ser divulgadas pelo Controlador, demonstrando mais uma vez a importância de tal figura na dinâmica de tratamento de dados.

Assim, a leitura do texto da lei nos permite inferir que as atividades do Encarregado envolverá íntima relação com o Controlador, prolongando-se no tempo, tendo em vista o constante acompanhamento e monitoramento das atividades de tratamento de dados.

Quais são os requisitos técnicos de um encarregado

Outro aspecto que tem gerado grande especulação é a respeito dos requisitos técnicos necessários ao Encarregado. No cenário europeu não foram impostas formações de áreas específicas, indicando-se tão somente que deverá ser sujeito conhecedor da legislação de proteção de dados e capaz de desempenhar as atividades impostas no regulamento.

No Brasil, o texto original da lei previa a necessidade de conhecimento jurídico regulatório, porém tal disposição foi excluída sob a justificativa de que tal requisito seria contrário ao interesse público restringindo o livre exercício profissional, de modo que, atualmente, não há exigências técnicas o Encarregado.

De toda forma, considerando as atribuições do cargo, espera-se que o Encarregado detenha conhecimentos jurídicos a respeito da legislação de proteção de dados, o que não se limita somente à LGPD, bem como conhecimentos relativos à segurança de informação. Além disso, é importante que o Encarregado também tenha conhecimentos de governança e boa capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área jurídica, Tecnologia da Informação (TI), Financeiro, Marketing, Comercial e Recursos Humanos.

Isso porque, o Encarregado será a principal ferramenta do controlador para garantir o efetivo cumprimento da LGPD, por meio de uma política de proteção de dados consistente, afastando eventuais responsabilizações e sanções por violação de dados pessoais.

Assim, como se percebe, a atividade do Encarregado trata-se de área nova, extremamente importante e em desenvolvimento no mercado brasileiro, essencial à execução da política de proteção de dados, cujo papel deverá ser desempenhado por profissionais com grande capacidade de adaptação, integração e conhecimento técnico.

Fernando de Castro Bagno

Fernando de Castro Bagno

Advogado do Setor Cível do Escritório, graduado pela Faculdade de Direito Milton Campos desde 2011, Fernando de Castro Bagno é responsável pelo atendimento de demandas judiciais relacionadas ao Direito Empresarial. Sua atuação é destacada no atendimento de clientes na área de saúde, bem como empresas no setor Imobiliário e de Infraestrutura.

Deixe um comentário

Por favor, seja educado. Nós gostamos disso. Seu e-mail não será publicado e os campos obrigatórios estão marcados com "*"