• Oscar Valente Cardoso

Encarregado Não é DPO

O encarregado é definido pelo inciso VIII do art. 5º da Lei Geral de Proteção de Dados da seguinte forma: “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.


Desde a entrada em vigor da LGPD, todas as pessoas que realizarem operações de tratamento de dados pessoais reguladas por ela, têm o dever de designar um encarregado (art. 41, § 3º, da LGPD). A ANPD, na regulamentação da LGPD, poderá ampliar a definição e as atribuições do encarregado, além de definir hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte do controlador ou o volume de operações de tratamento de dados pessoais realizadas por ele (art. 41, § 3º, da LGPD). Portanto, até que a ANPD defina quais são as situações de dispensa, a nomeação do encarregado é um dever do controlador.


É também conhecido como DPO (data protection officer), designação utilizada nos arts. 37/39 da versão em inglês do GDPR(Regulamento Geral sobre a Proteção de Dados) da União Europeia. Contudo, o encarregado e o DPO são funções distintas que não podem ser confundidas.


No GDPR, o DPO (também denominado de encarregado no RGPD, a versão portuguesa do GDPR) tem as seguintes características e atribuições principais:


(a) a sua designação é obrigatória em algumas situações específicas: (a.1) quando o tratamento for realizado por uma autoridade ou um organismo público (com exceção dos tribunais no exercício da sua função jurisdicional); (a.2) quando as atividades principais do responsável pelo tratamento (controller) ou do subcontratante (processor) forem operações de tratamento que demandem um controle regular e sistemático dos titulares dos dados em grande escala, em virtude de sua natureza, âmbito e/ou finalidade;(a.3) ou quando as atividades principais do responsável pelo tratamento ou do subcontratante forem operações de tratamento em grande escala das categorias especiais de dados previstas no artigo 9º ou de dados pessoais relacionados com condenações penais e infrações referidas no artigo 10 (art.37). Logo, quando não ocorrer nenhuma dessas hipóteses, não é obrigatória(mas é possível, de modo facultativo) a designação do DPO pelo controlller;

(b) o DPO deve participar, de forma adequada e em tempo útil, de todas as questões relacionadas com a proteção de dados pessoais, com acesso direto a todo os dados e as operações de tratamento realizadas, com a orientação de todas as pessoas na organização, é o ponto de contato entre o controller, a autoridade de controle e os titulares, deve apresentar parecer prévio à avaliação de impacto sobre a proteção de dados / data protection impact assessment (art. 35.2), além de exercer outras funções e atribuições eventualmente atribuídas pelo controller (arts. 38 e 39).


Além disso, o European Data Protection Supervisor (EDPS, a autoridade de proteção de dados da União Europeia) possui guidelines sobre assuntos específicos do GDPR, entre os quais estão alguns sobre o DPO.


Por sua vez, na LGPD, o encarregado tem as seguintes características e atribuições principais:


(a) a sua designação é, em princípio, obrigatória por todos os controladores (ou seja, por qualquer pessoa natural ou jurídica, de direito público ou privado, que realizar operações de tratamento de dados pessoais), mas a ANPD pode definir hipóteses de dispensa da necessidade de sua indicação, de acordo com critérios relativos à natureza e ao porte da entidade ou ao volume de operações de tratamento (art. 41, caput e § 3º).Excepcionalmente, a LGPD prevê que as pessoas jurídicas de direito público que desempenharem atividades de tratamento devem nomear um encarregado, ou seja, essa hipótese não pode ser restringida ou excepcionada pela ANPD (art. 23, III);


(b) o encarregado é um ponto de contato entre o controlador, a ANPD e os titulares, mas também desempenha outras funções, entre as quais se destaca a função educativa dos setores da organização acerca das boas práticas de tratamento dos dados, além de exercer outras funções e atribuições eventualmente atribuídas pelo controlador ou por normas complementares(arts.5º, VIII, e 41).


Como pontos comuns, o encarregado e o DPO podem ser uma pessoa natural ou jurídica; possuem autonomia e independência no desempenho de suas funções; orientam os colaboradores da organização e exercem um papel de ponto de contato entre a organização, a autoridade nacional de proteção de dados e os titulares dos dados pessoais (e, por isso, os contatos do DPO e do encarregado devem ser acessíveis de forma simples e adequada).


De outro lado, o encarregado deve ser nomeado por todo controlador (até que a ANPD regulamente as hipóteses de dispensa), enquanto o DPO só deve ser nomeado nas hipóteses expressamente previstas no GDPR; o DPO possui um comprometimento mais amplo do que o encarregado nas atividades de tratamento e proteção dos dados pessoais, porque o primeiro tem mais autonomia e uma quantidade maior de atribuições na supervisão das atividades de tratamento (e tem um status de diretor na organização), enquanto o segundo se limita a orientar os funcionários e contratados (e pode ser um empregado da organização ou um prestador de serviços).


Portanto, apesar das semelhanças e da influência direta do texto do GDPR europeu na elaboração da LGPD brasileira, encarregado e DPO são funções diferentes, que podem coexistir nas organizações localizadas no território nacional que realizarem operações de tratamento de dados submetidas às leis do Brasil e da União Europeia. Assim, no Brasil, as organizações podem ter encarregado (em cumprimento às normas da LGPD) e DPO (quando as suas atividades de tratamento também se submeterem ao GDPR e se enquadrarem nas hipóteses de designação do data protection officer).

416 visualizações0 comentário

Posts recentes

Ver tudo