Encarregado (DPO)
O Encarregado dos Dados, ou Data Protection Officer (DPO) garante, de forma independente, que uma determinada organização segue as leis que protegem os dados pessoais dos indivíduos. A designação, posição e tarefas de um Encarregado dentro de uma organização são descritas nos Artigos 37, 38 e 39 do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia[1] e, no Brasil, no art. 41 da Lei Geral de Proteção de Dados (LGPD). Muitos outros países exigem a nomeação de um DPO de acordo com suas leis nacionais, e isso está se tornando mais prevalente na legislação de privacidade.
De acordo com o RGPD e a LGPD, o DPO deve se reportar diretamente ao mais alto nível de gestão. Isso não significa que o Encarregado deva ser gerenciado diretamente por esses gestores, mas devem ter acesso direto para aconselhar os administradores que estão tomando decisões sobre o processamento de dados pessoais.[2]
As principais responsabilidades do DPO incluem garantir que sua organização esteja ciente e seja treinada em todas as obrigações relevantes do RGPD. Além disso, eles devem realizar auditorias para garantir a conformidade, abordar problemas potenciais de forma proativa e atuar como um elo de ligação entre sua organização e o público em relação a todas as questões de privacidade de dados.[3] No Brasil, essas obrigações são similares, pois o Encarregado deve: aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e adotando providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da entidade sobre as melhores práticas no tratamento de dados pessoais; e, de forma subsidiária, realizar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.[4]
Da dispensa do encarregado - Flexibilização da LGPD (Brasil)[editar | editar código-fonte]
Autoridade Nacional de Proteção de Dados (ANPD) do Brasil, mediante a Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022[5], flexibilizou a LGPD para os agentes de tratamento de pequeno porte, sendo eles:
- microempresas e empresas de pequeno porte
- startups
- pessoas jurídicas de direito privado, inclusive sem fins lucrativos
- pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador
Em regra, é obrigatório a indicação do encarregado, artigo 41 da LGPD. Entretanto, houve a dispensa do encarregado para os agentes de pequeno porte, mesmo assim, ainda deverá ser disponibilizado um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
Lembrando que a indicação de um encarregado será considerado como política de boas práticas e de governança, em especial, nos casos aplicação de sanções administrativas. Porém, para saber se as empresas de pequeno porte podem se beneficiar da flexibilização da LGPD é necessário verificar os critérios econômicos, bem como as exceções estabelecidas pela Resolução'.
Referências[editar | editar código-fonte]
- ↑ «GDPR Official Text». EU Commission. Consultado em 26 de abril de 2018
- ↑ «Data protection officers». ico.org.uk. ICO. Consultado em 9 de maio de 2018
- ↑ «What is a Data Protection Officer (DPO)? Learn About the New Role Required for GDPR Compliance in 2019». Digital Guardian. 30 de janeiro de 2017. Consultado em 2 de maio de 2021
- ↑ «Lei nº 13.709, de 14 de agosto de 2018». www.planalto.gov.br. Consultado em 29 de maio de 2021
- ↑ «Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022»
