Meu Painel

O que é o encarregado pelo tratamento de dados pessoais? Veja

  • Home
  • Blog
  • O que é o encarregado pelo tratamento de dados pessoais? Veja

A Lei Geral de Proteção de Dados (LGPD) trouxe uma série de novos papeis e responsabilidades para empresas e organizações no Brasil. 

Entre eles, destaca-se o encarregado pelo tratamento de dados pessoais, uma figura essencial para garantir a conformidade e a transparência na gestão das informações dos titulares.

Mas afinal, o que faz esse profissional e por que sua atuação é tão importante? 

Neste artigo, vamos explicar quem é o encarregado, suas principais funções e a relevância desse papel para a proteção dos dados pessoais.

O que é o encarregado pelo tratamento de dados pessoais?

O Encarregado pelo Tratamento de Dados Pessoais ou DPO (Data Protection Officer) é o profissional, nomeado pelo Controlador de Dados, que deverá desempenhar dentro das organizações as atividades relacionadas no artigo 41 da LGPD.

Segundo estabelece a Lei Geral de Proteção de Dados, serão atribuições do Encarregado de Dados:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Basicamente, a função do Encarregado pela proteção de dados pessoais de uma organização é a de representar organização externamente quando se tratar de assuntos de proteção de dados e a de conduzir trabalhos internos relacionados ao tema.

 Cada organização possui a sua forma de administrar e delegar atividades para os responsáveis setoriais, mas, quando bem aproveitado pela diretoria, um Encarregado pela Proteção de Dados pode ter papeis muito importantes dentro da organização.

Apesar de o art. 41 descrever as atividades de um Encarregado, é certo que este profissional dentro das organizações poderá auxiliar em diversas outras atividades, como planejamento de novas áreas e negócios.

Além disso, em razão do perfil apontado como ideal pela Autoridade Nacional de Proteção de Dados, os Encarregados podem auxiliar nas atividades de auditorias internas, melhorias de processos, capacitação de colaboradores e segurança da informação.

A Lei Geral de Proteção de Dados, determina ser uma obrigação do Controlador de Dados indicar um Encarregado de Dados, ou seja, todas as organizações, na medida em que tratam dados, também precisam fazer esta indicação.

Além de indicar por ato interno este responsável, a LGPD determina ainda que a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador.

Portanto, seja em seu site, seja em suas redes sociais, ou outros meios de comunicação disponíveis, a organização deverá divulgar ao menos o nome e o contato de seu Encarregado pelo Tratamento de Dados Pessoais.

Por todos esses motivos, a nomeação de um Encarregado de Dados deve ser muito bem planejada pela organização. 

A Lei não exige que a atividade de Encarregado pela Proteção de Dados seja exercida por pessoa do quadro funcional interno da empresa, podendo ser contratado um prestador de serviço para esta finalidade, o que chamamos de Encarregado ou DPO as a service.

Do mesmo modo, não há exigência de que o Encarregado seja pessoa natural ou jurídica, porém, deve ser escolhido para esta função uma empresa ou prestador de serviço que tenha os atributos indicados pela Autoridade Nacional de Proteção de Dados.

No Guia Orientativo da ANPD denominado “Atuação do Encarregado pelo Tratamento de Dados Pessoais”, há recomendações do órgão sobre os atributos que o profissional ou a empresa deverá conter.

Conhecimentos na área de proteção e privacidade de dados, segurança da informação, gestão de processos e de pessoas, são habilidades minimamente necessárias para as atividades, além de independência nas recomendações a serem feitas.

Reunir todos esses atributos em uma única persona pode não ter tarefa fácil, principalmente se procurados em um colaborador interno. A contratação de Encarregado ou DPO as a service é recomendada, deste modo, quando necessário que alguém de fora contribua na equipe.

Encarregado de dados é igual a DPO (Data Protection Officer)?

Sim. O Encarregado pela Proteção de Dados é a figura brasileira, prevista na Lei Geral de Proteção de Dados que guarda relação com o DPO (Data Protection Officer), do Regulamento Europeu de Proteção de Dados (GDPR).

Portanto, sendo as duas figuras a mesma pessoa e compartilhando das mesmas responsabilidades, qualquer um dos nomes serve para nomear o profissional responsável pela proteção de dados dentro de uma organização.

No entanto, considerando que vivemos no Brasil e temos em nosso território nacional vigente a LGPD, nomeamos como Encarregado pela Proteção de Dados esse profissional em nossos trabalhos.

Quem deve nomear o encarregado de dados?

É o controlador quem deverá indicar o Encarregado pela Proteção de Dados de sua organização. Para o operador essa indicação é facultativa e pode ser considerada como política de boas práticas (art. 6º do Regulamento sobre a atuação do encarregado). 

Essa previsão tem por objetivo incentivar que todas as organizações indiquem um Encarregado pela Proteção de Dados, até mesmo porque, mesmo um operador pode realizar atividades de tratamento onde seja o controlador.

Todas as empresas, mesmo aquelas que vendem serviços apenas como operadores, possuem empregados, obrigações fiscais, atividades comerciais, entre outras relacionadas à administração do negócio. Nestas atividades, terão papel de controladora de seus dados.

No caso de entes despersonalizados da Administração Pública, considerando o contexto e as especificidades dos tratamentos realizados, a complexidade da estrutura organizacional e a distribuição das competências internas, pode ser necessária a indicação de um encarregado para cada órgão vinculado.

Há, excepcionalmente, hipótese de dispensa da indicação para determinados agentes de tratamento de pequeno porte, como consequência da flexibilização prevista na Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que assim prevê:

Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.

Cabe destacar, contudo, que não é todo e qualquer agente de tratamento de pequeno porte que está desobrigado de indicar encarregado, permanecendo tal dever àqueles que:

  • realizem tratamento de alto risco;
  • aufiram, em cada ano-calendário, receita bruta superior a R$ 360.000,00 e igual ou inferior a R$ 4.800.000,00;
  • no caso de startups, com receita bruta de até R$ 16.000.000,00 no ano-calendário anterior 
  • pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse tais limites.

Portanto, a recomendação é a de que até mesmo a dispensa na indicação de um Encarregado pela Proteção de Dados seja feita com base em um estudo técnico realizado por pessoa com conhecimento específico na área.

Isto porque, a não indicação, quando necessária, pode trazer penalidades à organização, como multas e proibições de tratar dados pessoais.

Quais as funções do encarregado pelo tratamento de dados pessoais?

O Encarregado pelo Tratamento de Dados Pessoais deverá desempenhar dentro das organizações as atividades relacionadas no artigo 41 da LGPD. Segundo estabelece a Lei Geral de Proteção de Dados, serão atribuições do Encarregado de Dados:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Sobre a primeira atividade, importante ponto de atenção está no texto da Lei: É responsabilidade dos Encarregados pelo Tratamento de Dados Pessoais aceitar reclamações e comunicações dos titulares de dados, mas a Lei propositadamente não diz “atender”.

Isto porque, a essência dos Encarregados está em ser um Canal de Comunicação entre os titulares dados e as organizações. O Encarregado não é o responsável pelo tratamento dos dados pessoais. Este responsável é o Controlador dos Dados.

Por tal razão, apesar de representar o Controlador dos Dados, o Encarregado pela Proteção de Dados não tem o domínio nem a responsabilidade sobre o tratamento dos dados pessoais.

Com o objetivo de ilustrar a situação o Encarregado pela Proteção de Dados está para a empresa, como um Advogado Trabalhista, que orienta, recomenda, capacita os colaboradores, mas não é o empregador, portanto, não responde por ilegalidade por ele cometidas.

A Lei Geral de Proteção de Dados vem expressar a função do Encarregado como a de um canal de recepção e processamento das reclamações e comunicações dos titulares de dados. Uma espécie de Ouvidoria, mas com obrigações ativas para com a organização.

Além de ser a representação e canal de recebimento de demandas junto aos titulares de dados, o inciso II do art. 41 da LGPD determina que o Encarregado pela Proteção de Dados atua também como interlocutor da comunicação frente à ANPD.

Também em um exemplo ilustrativo, é como se a organização elegesse um Advogado para receber intimações em seu nome, mas no caso, essas comunicações virão da Autoridade Nacional de Proteção de Dados.

Além de recepcionar, o Encarregado pela Proteção de Dados deve tomar providências que estão assim definidas na Resolução CD/ANPD nº 18, de 2024, vejamos:

Art. 15 […] 

Parágrafo único. Ao receber comunicações da ANPD, o encarregado deverá adotar as medidas necessárias para o atendimento da solicitação e para o fornecimento das informações pertinentes, adotando, entre outras, as seguintes providências: 

  1. encaminhar internamente a demanda para as unidades competentes; 
  2. fornecer a orientação e a assistência necessárias ao agente de tratamento; 

III. indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.

Portanto, as duas primeiras responsabilidades do Encarregado pela Proteção de Dados previstas no 41 da LGPD estão ligadas à tramitação interna no âmbito do agente de tratamento.

Em ambos os casos, apesar de não se responsabilizar diretamente pelas atividades de tratamento, o Encarregado de Dados é responsável pela comunicação (ou falha nesta) vinda do titular de dados ou da ANPD e responde ativamente em caso de negligência neste sentido.

Já na alínea terceira, a Lei Geral de Proteção de Dados prevê como dever o Encarregado pela Proteção de Dados, a função de orientar os funcionários e os contratados da organização a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Daí, surge a importância de o Encarregado pela Proteção de Dados ter conhecimento específico a respeito da legislação e das normas editadas pela Autoridade Nacional de Proteção de Dados, não bastando conhecer de Tecnologia e Segurança da Informação.

Essa atividade prevista no inciso III da LGPD inclui o Encarregado em diversas atividades realizadas dentro das organizações e por isso a importância do conhecimento multidisciplinar e de gestão em pessoas e processos.

A primeira delas é a capacitação dos colaboradores. O Encarregado deverá auxiliar em cursos de captação, nas orientações dos colaboradores e na manutenção de um ambiente de boas-práticas.

Oferecemos aos nossos clientes uma Plataformas de Cursos por meio das quais o Encarregado poderá disponibilizar os seus conhecimentos, controlar número de colaboradores capacitados e avaliar os conhecimentos apreendidos.

O Encarregado deverá também auxiliar o Controlador dos Dados no registro de suas operações de tratamento, atividade esta obrigatória, mas nem sempre simples.

Apesar de a Autoridade Nacional de Proteção de Dados ter disponibilizado um modelo simplificado de registro de operações, esse registro deve abranger todas as operações de tratamento, nos termos do art. 37 da LGPD.

Recomenda-se que a área que atua diretamente com o processo forneça as informações acerca do tratamento, o que poderá acontecer por meio de uma entrevista junto aos colaboradores, ou ainda, a partir do preenchimento de formulários. 

Ao Encarregado caberá orientar sobre o preenchimento e permanecer à disposição para o esclarecimento de dúvidas.

Outra atividade em que o Encarregado poderá prestar assistência ao agente de tratamento é quanto à elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

Este documento, de obrigação do Controlador, tem por finalidade a descrição dos processos de tratamento de dados pessoais, que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como salvaguardas e mecanismos de mitigação de risco. 

O encarregado poderá colaborar na elaboração do relatório, orientar o agente de tratamento na definição dos mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais. 

Assim, é possível que ele atue na identificação de potenciais ameaças e vulnerabilidades que possam representar riscos à proteção dos dados pessoais tratados pela organização, a partir da avaliação da probabilidade e do impacto desses riscos na segurança e proteção dos dados. 

Além disso, o Encarregado pode sugerir medidas de mitigação, como a aplicação de controles de segurança e a adoção de políticas ou procedimentos, visando a reduzir a possibilidade de ocorrência de eventos de risco ao tratamento desses dados.

É importante destacar, ainda, a participação do encarregado na criação do aviso de privacidade, documento voltado ao público externo ao agente de tratamento, que tem como objetivo esclarecer e informar os titulares sobre como os seus dados pessoais são tratados.

Este documento, que descreve, especialmente sobre a coleta, o uso, o armazenamento e o compartilhamento desses dados, garante ao controlador a observância do princípio da transparência.

Nesse sentido, o encarregado poderá auxiliar na elaboração de tais documentos, além de transmiti-los a todos os demais colaboradores do agente de tratamento.

De acordo com a ANPD caberá ao Encarregado também Cabe também assessorar o agente de tratamento quanto à observância dos procedimentos e as regras aplicáveis às operações de transferência internacional de dados.

Esta atividade, regulada pela ANPD na Resolução CD/ANPD nº 19, de 23 de agosto de 2024, poderá ser apoiada pelo Encarregado, que auxiliará na identificação de uma transferência internacional de dados, na escolha de um mecanismo para realizá-la.

Outra relevante atividade em que o Encarregado poderá auxiliar o agente de tratamento, refere-se à adoção de padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais.

Trata-se de medida que busca garantir que as configurações de privacidade sejam acionadas automaticamente por padrão, sem nenhuma intervenção ou providência do usuário para proteger seus dados pessoais.

Como se pode verificar neste tópico, o Encarregado possui papel de assessoramento e em várias atividades dentro da organização por ele representada, portanto, é figura de extrema importância dentro da organização, que deve ser escolhida com bastante cuidado.

Capacitações e perfil profissional do encarregado de dados

Apesar de a legislação não descrever critérios objetivos quanto às competências objetivas e subjetivas, da pessoa do Encarregado de Dados, em razão da natureza das atividades designadas no artigo 41, é essencial que este profissional tenha boa formação sobre a LGPD.

Isto porque é comum que as empresas, de forma equivocada e visando diminuir custos, designem um profissional interno do setor de TI ou mesmo o próprio Advogado já responsável por outras demandas para a função de Encarregado de Dados.

Porém, o trabalho do Encarregado é extremamente técnico e específico com relação ao que determina a LGPD. As suas atribuições vão desde acompanhar as medidas de segurança adotadas, até a realização de capacitação com os colaboradores.

Além disso, é necessário que o Encarregado de Dados tenha autonomia dentro da organização para melhor guiar e orientar o controlador de dados na construção de suas boas práticas e até mesmo na fiscalização do cumprimento da Lei pelo controlador.

Neste sentido, recomendamos a contratação de um profissional com relação interpessoal, com conhecimentos técnicos específicos na área e que não esteja internamente subordinado à Diretoria da organização.

Boa alternativa para atendimento destas condições é a contratação de um Encarregado de Dados as a service que poderá atender ao controlador com o conhecimento e a imparcialidade necessários.

O salário de um Encarregado de Dados varia de acordo com o tamanho da organização que será atendida, faturamento e forma de trabalho (remota ou presencial), mas certamente é condizente com a importância de suas atribuições.

A internalização de um profissional já pertencente à equipe interna, pode significar altos custos com encargos trabalhistas.

Deste modo, recomendamos a contratação de um Encarregado de Dados as a service, cujo valor da prestação do serviço poderá ser negociado, além de guardar independência com as decisões institucionais da empresa.

A indicação do encarregado deve ser realizada por meio de ato formal do agente de tratamento, do qual constem as formas de atuação e as atividades a serem desempenhadas, conforme previsto no art. 3º do Regulamento da ANPD sobre a atuação do encarregado.

Não é necessária a comunicação da indicação à ANPD. Todavia, tal documento deverá ser mantido pelo agente de tratamento e apresentado à Autoridade, quando solicitado. 

Do mesmo modo, o ato formal de indicação não precisa estar disponível no sítio eletrônico do agente de tratamento. 

No entanto, em se tratando de órgãos e entidades do setor público, considerando o princípio constitucional da publicidade como um dos princípios norteadores da atuação administrativa, a indicação deverá ser publicada no Diário Oficial.

Além da designação por ato formal, a identidade e as informações de contato do encarregado devem ser publicadas, de forma clara e objetiva, no sítio eletrônico do agente de tratamento.

Facebook
Twitter
LinkedIn

Latest Post

Abrir bate-papo
Olá 👋
Podemos ajudá-lo?