A Lei Geral de Proteção de Dados (LGPD) trouxe várias inovações às quais as empresas brasileiras devem estar atentas e em busca de conformidade. Dentre elas foram criados os agentes de tratamento de dados, a saber, o Controlador e o Operador. O Controlador é pessoa física ou jurídica a quem cabem todas as decisões sobre os dados a serem tratados e determina a forma como isso deve ocorrer. O Operador, por sua vez, é a pessoa física ou jurídica, que por ordem do Controlador, trata os dados. Além deles, suger terceira figura, o Encarregado, também chamado DPO – Data Protection Officer, sendo ele uma pessoa física ou jurídica, escolhida pelo Controlador e Operador para ser o canal de comunicação com as demais partes relacionadas a Dados Pessoais.
Justamente por ser a pessoa que vai lidar diretamente com os titulares dos dados e com a ANPD, a figura do DPO vem ganhando muito destaque. Se de um lado são ofertados inúmeros cursos para a formação de profissionais que possam exercer essa função, de outro surgem propostas caríssimas e pedidos de salários exorbitantes para o desempenho das funções do DPO. Diante disso e de um controle severo de caixa provocado principalmente pelo atual cenário de pandemia, tornou-se prática usual das instituições “pinçar” profissionais de usas próprias equipes, principalmente das áreas jurídicas ou de TI, para assumirem o papel de Encarregado, sem qualquer treinamento adicional e redistribuição de suas funções. Pior processo de seleção de Encarregado que este não há.
Realmente está longe de ser fácil a escolha do Encarregado e um erro aqui pode colocar em risco todo o processo de implantação das normas e boas práticas introduzidas pela LGPD. Para que não se enverede por caminhos incorretos, Controladores e Operadores devem conhecer a fundo as atribuições do DPO, já que serão eles a responder solidariamente por quaisquer problemas relacionados ao tratamento de dados de sua empresa. Então, afinal, quais as funções do Encarregado segundo a LGPD?
Dispõe o parágrafo 2° do art. 41 da Lei 13.709/18, que cabem ao Encarregado as seguintes atividades:
– aceitar reclamações e comunicações dos titulares;
– prestar esclarecimentos aos titulares;
– adotar providências para que as solicitações dos titulares sejam atendidas;
– receber comunicações da autoridade nacional e adotar providências;
– orientar os funcionários, prestadores de serviços e parceiros da empresa, dentre outros, sobre os procedimentos de proteção de dados pessoais adotados internamente;
– executar as determinações do Controlador e as atribuições fixadas em normas complementares.
Por tudo isso, ser Encarregado requerer várias competências técnicas e comportamentais do escolhido.
Primeiramente o candidato a DPO deverá dominar todos processos de tratamento de dados pessoais da empresa, os mecanismos de proteção destes dados, sejam físicos ou tecnológicos, conhecer a fundo as disposições da LGPD e das demais legislações que envolvem a atividade social da instituição, tudo para garantir o exercício dos direitos dos titulares, que os princípios norteadores da proteção dos dados sejam cumpridos e que sejam evitadas ações judiciais de indenizações e penalidades administrativas.
Além disso, o DPO deve ter uma excelente capacidade de comunicação, seja com clientes, subordinados, colegas, superiores, membros da administração pública e parceiros, capacidade para lidar com pressão, controle emocional, ser discreto e capaz de manter sigilo sobre dados e procedimentos internos.
No entanto, sem que seja atribuído ao Encarregado poderes de liderança para conduzir suas atividades de nada valerá preparo e competências. Este profissional deverá propor correções de forma efetiva e imediata, aplicar advertências, estar constantemente alinhado com Operador, Controlador e alta gestão da corporação. Só com alguma autonomia será possível que o DPO atue de forma efetiva e isenta as atribuições que lhe foram conferidas.
Vale ainda consignar que a Autoridade Nacional de Proteção de Dados – ANPD, ainda em fase de constituição e organização, também poderá editar normas e regulamentos complementares acerca das tarefas do Encarregado, bem como definir hipóteses de dispensa de sua indicação, motivos pelos quais as contratações caríssimas acima mencionadas devem ser bem avaliadas neste primeiro momento.
Seja de que forma for, mesmo que haja dispensa regulamentar do DPO no futuro, a sua presença no processo de implantação da LGPD é fundamental e, por todo o exposto, torna-se clara a importância de um bom processo de sua seleção e do engajamento dos órgãos de direção das empresas neste processo.
