DPO:‌ ‌conheça‌ ‌o‌ ‌encarregado‌ ‌por‌ ‌fiscalizar‌ ‌a‌ ‌proteção

Com a Lei Geral de Proteção de Dados brasileira (Lei LGPD - nº 13.709/18), que entrará em vigor ainda em 2020, todas as empresas que fazem coleta, armazenamento, classificação, utilização ou qualquer tipo de tratamento de dados pessoais, precisarão se adaptar. A advogada Sheila Shimada, da Shimada Advocacia e Consultoria, observa que, entre as novas imposições legais previstas nessa lei, está a criação de um encarregado para centralizar o assunto: é o DPO (Data Protection Officer). A determinação desperta dúvidas entre empreendedores, gestores, profissionais do direito e da tecnologia da informação.

A LGPD, traz em seu artigo 41, §2º, uma lista não fechada, de funções do encarregado. Mas, de forma resumida, o encarregado (DPO) será o profissional responsável por implementar, fiscalizar e reportar às autoridades quaisquer atividades relativas ao tratamento de dados pessoais realizadas por operadores e/ou controladores.

De forma descomplicada, Sheila Shimada observa alguns dos pontos essenciais dessa nova função, que veio como uma imposição legal relevante em uma economia que cada vez mais é movida a partir de dados. Segundo a especialista, o DPO será basicamente a pessoa responsável por auxiliar as empresas a fazem tratamento de dados pessoais, atuando como “uma ponte” entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Dessa forma, a identidade e as informações de contato desse encarregado (DPO) deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site de quem controla os dados pessoais, conforme descrito no artigo 41, § 1º da lei.

Na prática, isso significa que e-commerces, startups ou qualquer empresa que possua um website que colete dados pessoais dos consumidores deverá indicar explicitamente no website quem será o encarregado (DPO) da empresa, o que será uma verdadeira inovação no cenário nacional.

Como definir o DPO de uma empresa?

Após as alterações introduzidas pela MP n° 869/188, convertida em Lei 13.853/19, o encarregado não precisa mais ser uma pessoa natural, abrindo espaço para a indicação de pessoas jurídicas, comitês ou grupos de trabalho para exercer tais funções. Ou seja, agora é possível que o encarregado seja um funcionário da empresa ou um terceiro prestador de serviços (pessoa física ou jurídica).

Além disso, a LGDP em sua redação mais recente, não traz exigências quanto à qualificação profissional do encarregado. No entanto, dentre outras habilidades necessárias para o adequado desempenho da função é importante o domínio da LGPD, de gestão de segurança da informação, compliance e de outras normas de proteção de dados estrangeiras como a Regulamentação Geral de Proteção de Dados da União Europeia (GDPR).

Quem precisa ter um encarregado ?

De acordo com Sheila Shimada, “diferente do que previa a versão inicial da LGPD, o conceito de ‘encarregado’ trazido pelo atual Artigo 5º, inciso VIII, dispõe que tal função deve existir não apenas para aquelas pessoas (jurídicas ou físicas) que tomam decisões referentes ao tratamento de dados pessoais (controladoras), mas também para aquelas que realizam esse tratamento a seu mando (operadoras)”. Contudo, a versão final da referida lei traz um conflito entre a definição do artigo mencionado acima (que inclui a figura do operador) e regra do artigo 41, que, ao disciplinar a função do DPO, apenas faz referência aos controladores de dados.

As empresas controladoras dos dados pessoais, portanto, são aquelas que determinam como será realizada a coleta, armazenamento e demais formas de tratamento dos dados pessoais. Por exemplo, uma startup que dispõe de website ou aplicativo que exige cadastro obrigatório de usuário pode ser identificada como controladora dos dados pessoais.

Com isso, a advogada alerta que é razoável que empresas na posição de operadoras de dados também se preocupem com a nomeação de um encarregado. “Isso ocorre pois é bastante comum que empresas que, em princípio, seriam somente operadoras durante suas atividades, envolvam algum tipo de tratamento de dados pessoais, exercendo assim, o papel de controladoras, o que traz a necessidade de indicação de um DPO”, explica Shimada.

Por fim, a especialista ressalta que a recém-criada Autoridade Nacional de Proteção de Dados (ANPD) poderá estabelecer regras complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. Portanto, um acompanhamento constante, com uma assessoria jurídica de confiança é essencial para que as operações de que envolvam o tratamento de dados pessoais, estejam sempre de acordo com as normas pertinentes ao tema.

Sobre a Shimada Advocacia e Consultoria

SHIMADA ADVOCACIA E CONSULTORIA é um escritório de advocacia exclusivo e inovador, especialista em direito empresarial, com foco no direito societário. Com tecnologia e ferramentas jurídicas, contribuem para o crescimento sustentável de empresas, estruturaram a gestão de negócios, apoiam operações de fusões e aquisições de forma audaciosa e eficaz e oferecem uma estrutura tecnológica e humana diferenciada com grupos setoriais e desks internacionais formados por advogados considerados experts pelo mercado e pelas principais publicações nacionais e internacionais.