Data Protection Officer (Encarregado) - Ed. 2020

Data Protection Officer (Encarregado) - Ed. 2020

Dpo e Startups

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Gisele Karassawa 1

Marcella Costa 2

1. Introdução

Como já explorado em outros artigos desta coletânea, a figura do DPO – Data Protection Officer ou Encarregado, nos termos da Lei nº 13.709/2018 (“LGPD”), é a “pessoa indicada pelo controlador e operador para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (“ANPD”)” 3 .

A jornada de adequação de uma empresa aos termos e condições da LGPD exige um esforço que vai além do mapeamento do ciclo de vida dos dados pessoais internamente, do apontamento de gaps identificados e da implementação de algumas ações, que pode incluir a revisão de documentos, processos e procedimentos internos.

É preciso criar um programa de governança para que a atenção e o cuidado com o tema sejam perenes na empresa e os processos desenvolvidos ou ajustados durante a jornada de adequação sejam continuamente executados e aperfeiçoados. E o DPO deve ser a pessoa “encarregada” desse papel, não se limitando à função de mero elo de comunicação entre empresa, ANPD e titulares dos dados, especialmente dependendo do porte da empresa, tipo de atividade desenvolvida, complexidade e volume de operações de tratamento de dados pessoais.

A partir do artigo 41 da LGPD, podemos extrair as seguintes atividades que devem ser observadas pelo Encarregado e outras disposições relacionadas a essa figura:

– O Controlador deve nomear um DPO;

– Obrigatoriedade de publicar a identidade e informações de contato do Encarregado, de forma clara e objetiva, preferencialmente no site da instituição;

– O DPO deve receber as reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar as providências necessárias;

– O DPO deve receber as comunicações da Autoridade Nacional e adotar as medidas cabíveis;

– O DPO deve orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

– O DPO deve executar as demais atribuições determinadas pelo Controlador, bem como aquelas estabelecidas na LGPD e em normas complementares; e

– A ANPD poderá regulamentar sobre a definição e as atribuições do Encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação.

É razoável afirmar que a LGPD abordou o tópico do Encarregado e descreveu suas responsabilidades de maneira bem mais simplista do que a regulamentação europeia. Contudo, encontramos algumas obrigações dispersas pela LGPD que dificilmente as empresas conseguirão atender se não atribuírem um responsável pela gestão das providências necessárias, sendo o cargo do DPO o mais natural e recomendável para absorver tais atribuições.

Por exemplo, para atender ao princípio da responsabilização e prestação de contas (accountability) previsto no inciso X do artigo da LGPD, as empresas terão que gerar evidências das medidas adotadas em busca da adequação e do cumprimento das regras previstas na referida lei. A título de ilustração, para isso, será preciso manter o registro dos treinamentos realizados ao público interno; manter o registro das mudanças realizadas nos seus respectivos processos, bem como sua implementação na rotina da empresa e sua observação por todas as áreas; gerar indicadores; manter as atas de reuniões realizadas ordinariamente pelo Comitê de Proteção de Dados ou pontualmente para avaliar os impactos da proteção de dados pessoais no desenvolvimento de novos projetos (o que chamamos de Privacy by Design); elaborar eventuais relatórios de impacto à proteção de dados. Note-se o desafio da observação desse princípio sem a atuação de um DPO.

Isso vai ao encontro do que temos visto na prática, a importância desse cargo para o sucesso da implementação e manutenção de um programa de governança em proteção de dados.

De qualquer forma, apesar da regulamentação menos abrangente dada pela LGPD ao definir as responsabilidades do DPO, ela outorgou poderes à ANPD para a criação e fixação de condições e atribuições adicionais ao Encarregado, conforme consta na redação do parágrafo 3º do art. 41:

“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

(...)

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação , conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados .” (grifo nosso)

Voltando ao tema deste estudo, ao fazer um corte dessa discussão para o universo das startups, deparamo-nos com alguns questionamentos que a ANPD terá que ajudar a esclarecer.

– Todas as empresas terão que nomear um DPO, independentemente do seu porte?

– Atualmente, o texto da LGPD nos remete à leitura de que sua aplicação abrange todos os tipos e tamanhos de …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
15 de Agosto de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548799/dpo-e-startups-data-protection-officer-encarregado-ed-2020