O papel crucial do encarregado de dados na LGPD: responsabilidades, desafios e melhores práticas

As responsabilidades do encarregado de dados na LGPD

O que diz o artigo 41 da LGPD?

De acordo com o art. 41 da LGPD, “o controlador deverá indicar encarregado pelo tratamento de dados pessoais”. O artigo 41 da LGPD não faz distinção quanto a instituições públicas ou privadas e por isso é essencial que qualquer negócio esteja ciente da sua obrigação de indicar um encarregado de dados.

Ao contrário de outras legislações de proteção de dados estrangeiras, como a GDPR europeia, a LGPD não determinou em que circunstâncias uma organização deve indicar um encarregado. Nesse caso, a regra geral é que toda organização deverá indicar uma pessoa para assumir esse papel.

A LGPD também não distingue se o encarregado de dados precisa ser uma pessoa física ou jurídica, ou seja, se precisa ser um funcionário da organização ou um agente externo. 

O mais importante é que o encarregado seja um funcionário da instituição ou um agente

externo, mas indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo. Essa pessoa vai precisar de autonomia na realização de suas atribuições. 

Qual é a função do controlador de dados de LGPD?

O controlador de dados é a pessoa física ou jurídica que toma as decisões sobre o tratamento de dados pessoais. Em outras palavras, é quem define os propósitos e os meios de processamento dos dados pessoais.

Entre suas responsabilidades, estão determinar a finalidade do processamento dos dados,

definir como e por quanto tempo os dados serão armazenados e garantir que o processamento de dados seja realizado de acordo com a lei e respeite os direitos dos titulares dos dados. 

Também fica a cargo do controlador implementar medidas técnicas e organizacionais adequadas para assegurar a segurança dos dados.

O controlador ainda responde por danos patrimoniais, morais, individuais ou coletivos, assim como qualquer outro tipo de violação ou desacordo à legislação.

Outra função é que ele tem responsabilidade sobre oencarregado de dados, precisando orientá-lo para que o tratamento dos dados pessoais ocorra conforme as determinações da lei. 

Quem deve nomear o encarregado de dados?

O encarregado de dados (Data Protection Officer ou DPO) deve ser nomeado pelo controlador de dados ou, em alguns casos, pelo operador de dados, dependendo da estrutura e das necessidades da organização.

É o controlador quem determina as finalidades e os meios de processamento dos dados pessoais retidos por uma organização.

Já em casos nos quais o processamento de dados é delegado a uma entidade terceirizada (operador de dados), o operador também pode ser responsável por nomear um DPO. Sobretudo se as atividades de processamento forem complexas ou envolverem grandes volumes de dados pessoais.

Quais as obrigações do encarregado de dados ou DPO?

As funções do encarregado de Dados de acordo com a LGPD são delineadas para garantir que as organizações cumpram as obrigações legais de proteção de dados pessoais. 

Na prática, o DPO atua como um intermediário entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Assim, essas são suas funções:

1. Aceitação de reclamações e comunicações dos titulares dos dados

O DPO é responsável por receber e tratar reclamações e comunicações dos titulares dos dados. Isso inclui responder a consultas, atender a solicitações de acesso, correção, exclusão e outras questões relacionadas ao tratamento de dados pessoais.

Ou seja, se uma pessoa deseja contestar ou rever seus dados em uma empresa, é o DPO quem se responsabiliza por isso.

2. Recebimento de comunicações da Autoridade Nacional de Proteção de Dados (ANPD)

O DPO atua como o elo mais forte no contato principal entre a organização e a ANPD. Essa pessoa é responsável por receber e responder a comunicações, notificações e diretrizes da autoridade de proteção de dados.

3. Orientação e treinamento dos funcionários

Sabemos que todo mundo em uma empresa trabalha com dados variados. Assim, o DPO deve orientar os funcionários e contratados da organização sobre práticas de proteção de dados pessoais. 

Isso inclui promover treinamentos e ações de conscientização para garantir que todos compreendam e sigam as políticas e procedimentos de proteção de dados.

4. Monitoramento da conformidade com a LGPD:

O DPO é responsável por monitorar a conformidade da organização com a LGPD e outras leis de proteção de dados aplicáveis. Por exemplo, ao fazer a avaliação contínua das políticas, práticas e procedimentos de proteção de dados para garantir que estejam em conformidade com os requisitos legais.

5. Recomendar melhorias nas políticas e práticas de proteção de dados

O DPO deve aconselhar a alta administração e outros setores da organização sobre as melhores práticas de proteção de dados. Ele pode recomendar melhorias nas políticas, práticas e medidas de segurança para aumentar a proteção dos dados pessoais.

Além disso, o encarregado de dados pode buscar alternativas de contenção de danos, como um seguro DPO, que traz uma proteção financeira às empresas.

6. Elaboração e manutenção de relatórios de conformidade

O DPO também precisa elaborar e manter registros detalhados das atividades de tratamento de dados da organização. Esses registros são essenciais para demonstrar conformidade com a LGPD em auditorias e em respostas a solicitações da ANPD.

7. Realização de avaliações de impacto à proteção de dados

Outra função da pessoa com cargo de DPO é ser responsável por conduzir avaliações de impacto à proteção de dados (Data Protection Impact Assessments, DPIAs) para identificar e mitigar riscos associados ao tratamento de dados pessoais.

Quais são as qualificações e o perfil profissional do encarregado de dados?

O primeiro ponto essencial no perfil de um encarregado de dados é ter o domínio das legislações de proteção de dados, especialmente a LGPD e, se aplicável, o GDPR. Essa pessoa deve conhecer as melhores práticas e princípios de privacidade e proteção de dados.

Assim, é comum que todo DPO tenha graduação em Direito, Tecnologia da Informação, Gestão de Riscos, Segurança da Informação ou áreas relacionadas. Fora pós-graduação ou cursos de especialização em proteção de dados e privacidade para seguir se atualizando.

Algumas certificações são importantes, como CIPP (Certified Information Privacy Professional), CIPM (Certified Information Privacy Manager), CDPSE (Certified Data Privacy Solutions Engineer), entre outras.

Agora, em relação às habilidades, podemos falar em conhecimento em tecnologias de segurança da informação e medidas de proteção de dados. Além da capacidade de realizar avaliações de impacto à proteção de dados (Data Protection Impact Assessments - DPIAs) e auditorias de conformidade.

Ainda é importante ter capacidade de interpretar e aplicar a legislação de proteção de dados no contexto organizacional e ser uma pessoa com habilidade em redigir políticas de privacidade e procedimentos de conformidade.

Quem faz o treinamento e conscientização em LGPD?

Todos os funcionários de uma empresa precisam estar cientes sobre a LGPD. O DPO pode ser a pessoa que faz esse trabalho de treinamento ou ainda pode indicar opções de treinamento e indicar leituras e materiais de atualização.

Por exemplo, o livro LGPD - Lei Geral de Proteção de Dados: Sua Empresa Está Pronta?, de Dionice Almeida, que traz ótimos insights para todo gestor.

Para quem é DPO e sabe da responsabilidade e do quão importante é o tratamento de dados, é importante considerar fazer um seguro DPO e ter uma garantia financeira em caso de perda de dados, difamação, honorários advocatícios etc. Consulte a NV Seguros e faça uma cotação.