O Encarregado de Dados (ou Data Protection Officer, ou DPO) é uma importante personagem que foi acrescentada no art. 41, da Lei Geral de Proteção de Dados (LGPD) para atuação junto às Empresas. Tanto os Controladores, quanto os Operadores de Dados Pessoais, ou seja, aqueles que tratam dados de pessoas físicas (também chamados “Agentes de Tratamento”) devem constituir um DPO.

Algumas empresas não estão indicando o DPO. Outras, estão nomeando um funcionário interno para ser o Encarregados delas. Por vezes, é o responsável pelo departamento de Tecnologia da Informação (TI). Outras vezes, qualquer funcionário. 

Como você poderá observar abaixo, a função de DPO é uma função muito séria no atual cenário empresarial. A ausência de um DPO qualificado poderá levar a empresa a incorrer em grave perigo de segurança no tratamento dos dados pessoais, possibilitando a atribuição de multas e outras penas administrativas e condenações judiciais elevadas.
O DPO poderá ser tanto uma pessoa física, quanto uma pessoa jurídica, cuja identidade e informações de contato deverão ser divulgadas publicamente, de modo claro e objetivo, de preferência no site do Controlador.

O Encarregado de Dados deverá ter uma independência no exercício de sua atividade para que possa emitir orientações necessárias para que as implementações da LGPD sejam efetivamente realizadas. Ele não é um fiscal da empresa, mas um canal de comunicação e orientação dos Agentes de Tratamento.

No futuro, é possível que a Autoridade Nacional de Proteção de Dados (ANPD) dispense a necessidade da indicação do DPO, conforme a natureza e o porte da entidade, ou o volume de operações de tratamento de dados. Isso não significa que a empresa não terá que tomar todos os cuidados devidos no tratamento dos dados pessoais. Se não fizer isso, poderá sofrer as penalidades da lei. Até o momento, no entanto, é obrigatória a existência da atividade de Encarregado de Dados nas empresas.

É o Encarregado de Dados o responsável por aceitar as reclamações e comunicações dos titulares e que presta à eles esclarecimentos, a partir de informações fornecidas pelos Agentes de Tratamento que tenham tratado os dados dos respectivos titulares. Funciona como um verdadeiro canal de comunicação do Controlador com o titular de dados.
Essa função de ser um canal de comunicação também se estende à ANPD, pois é o DPO quem recebe as comunicações da ANPD e adota as providências necessárias para que esses comunicados cheguem até os Agentes de Tratamento para que estes prestem as informações solicitadas pela Autoridade Nacional.

O DPO também é responsável pela orientação dos funcionários e daqueles que forem contratados pela entidade sobre práticas a serem tomadas em relação à proteção de dados pessoais. Por esse motivo, deverá ser uma pessoa que detenha tanto conhecimentos em Tecnologia da Informação, quanto em assuntos jurídicos envolvendo a Proteção de Dados, pois esses conhecimentos são fundamentais para que ele possa exercer com êxito a atividade de orientação determinada pela LGPD.

Ainda, poderá ser responsável pela execução de outras atribuições indicadas pelo Controlador, ou que sejam estabelecidas em normas complementares a serem emitidas pela ANPD sobre a definição e atribuições do DPO.
No futuro, poderão ser emitidas outras normas, não só pela ANPD, mas pelo próprio Poder Legislativo que poderão reforças as orientações vigentes ou alterá-las. A LGPD não é estática. Constantemente, surgem novas situações que necessitarão de novas regulamentações, ou esclarecimentos. Exemplo disso foi a publicação do “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, emitido pela ANPD em maio de 2021, no qual foram identificadas novas categorias, como a da “Controladoria Conjunta” e do “Suboperador” de dados, as quais não constavam expressamente na LGPD.

Também é importante que o DPO conheça os precedentes jurídicos sobre os efeitos da LGPD, ou seja, eventuais condenações que foram aplicadas pelo Poder Judiciário e, a partir de tais situações concretas, mapeie os pontos falhos desses precedentes jurídicos e oriente as empresas nos ajustes necessários a partir de tais condenações, a fim de que não ocorram os efeitos negativos da ausência, ou desconformidade da aplicação da LGPD na empresa que esteja orientando.

Portanto, é fundamental que o Encarregado de Dados esteja atualizado e se atualizando, a fim de que sua atividade possa orientar o Agente de Tratamento no melhor ajuste dela com relação à LGPD, auxiliando no afastamento de incidentes de segurança no tratamento de dados e evitando, assim, penalidades por infrações à lei e aos direitos dos titulares de dados pessoais.

Por Diego Richard Ronconi