Quem é o Encarregado de Proteção de Dados Pessoais na LGPD

O encarregado de dados pessoais é o sujeito instituído pela Lei Geral de Proteção de Dados Pessoais (LGPD) responsável por atuar como uma ponte de comunicação entre o controlador, o operador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).

A conformidade à lei exige que o encarregado seja nomeado pelo controlador e operador, entretanto, antes de avaliar sua necessidade e importância, devemos elucidar as diferenças entre esses entes. Em primeiro lugar, ambos podem ser pessoas físicas ou jurídicas, de direito público ou privado. O controlador é o responsável por definir os parâmetros da atividade de tratamento de dados pessoais. Já o operador, em nome do controlador, é quem de fato realiza a operação de tratamento de dados. Contudo, a lei prevê que o controlador exerça a atividade por conta própria, sendo assim controlador e operador ao mesmo tempo. 

Dito isso, aqui entra o papel do encarregado pelo tratamento de dados pessoais. De acordo com o art. 5º, inciso VIII e o art. 41, essa é uma função definida pelo controlador e operador. Ainda de acordo com o disposto na LGPD, em regra todas as empresas devem ter um encarregado. Porém, a lei prevê que a ANPD poderá dispensar a necessidade de indicação conforme a natureza, o porte da entidade ou o volume de operações de tratamento de dados. 

Quais são as funções do Encarregado?

O Encarregado, também conhecido como Data Protection Officer (DPO) é quem verifica o cumprimento das normas de proteção de dados na empresa no qual atua, de forma a garantir que elas estejam em conformidade com a LGPD e boas práticas. Porém sem substituir as funções desempenhadas pelo Controlador. É fundamental que o respeito a essa hierarquia seja cumprido, uma vez que ações em desconformidade podem resultar em sanções de custo bastante elevado.

O art. 41, § 2º, elenca algumas das atividades do encarregado de proteção de dados. São ele

“I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”

Sendo assim, tem o dever de fiscalizar o tratamento de dados e reportar à autoridade eventuais desconformidades.

Quem pode ser um Encarregado?

O Encarregado pode ser uma pessoa física ou jurídica, interna ou externa à organização. Se uma empresa optar pela nomeação interna, deve tomar cuidado para não ser combinada com outras funções conflitantes. Dessa forma é fundamental que o Encarregado tenha liberdade e independência para relatar violações às autoridades, assim como determinar adequações na própria empresa. Logo, um profissional terceirizado implica em atuação imparcial e redução de custos para as empresas, podendo ser até mesmo uma vantagem competitiva.

Lembre-se que o Encarregado deve ter uma bagagem profissional com conhecimentos jurídicos, tecnológicos e práticos quanto à proteção de dados, habilidades de comunicação e solução de problemas.