Será se sua empresa precisa contratar o tão falado DPO – Data Protection Officer, também chamado de Encarregado de Dados Pessoais?
Desde que foi promulgada em agosto de 2018, a LGPD alterou a dinâmica do mercado, trazendo consigo diversos standards a serem adotados pelas empresas.
Com a entrada em vigor da Lei em 2020 a necessidade de adequação das organizações se tornou ainda mais urgente.
Adequar-se à LGPD significa adotar as melhores práticas em proteção de dados pessoais e minimizar riscos no tratamento desses dados, visando reduzir as chances de sanção, evitar a perda ou a rescisão de contratos com fornecedores e parceiros comerciais e melhor atender um consumidor cada vez mais crítico e consciente.
O processo de adequação, no entanto, é extremamente complexo e demanda esforços técnicos em razão das várias obrigações impostas pela Lei. Uma dessas obrigações é a indicação pelos agentes de tratamento do Encarregado de Dados Pessoais, também chamado de DPO – Data Protection Officer.
Nós já falamos sobre a identificação dos agentes de tratamento. Você pode saber se sua empresa é controladora ou operadora de dados pessoais clicando aqui.
Caso você não saiba o que é ou quais as atribuições de um DPO, qual é sua real importância ou mesmo se sua empresa precisa de um, fique tranquilo, porque vamos te explicar tudo neste artigo!
01. QUEM É O ENCARREGADO DE DADOS PESSOAIS (DPO)?
O DPO é a pessoa responsável por atuar como canal de comunicação entre a organização, os titulares de dados, ou seja, a pessoa física que pode ser identificada a partir de seus dados pessoais, e a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável por fiscalizar e aplicar a LGPD, e possui como atribuições:
- gerir a comunicação entre a organização e o titular de dados, aceitando reclamações, prestando esclarecimentos – especialmente em caso de comprometimento de dados pessoais – e adotando eventuais providências;
- gerir a comunicação entre a organização e a Autoridade Nacional de Proteção de Dados, sendo responsável por conduzir as providências solicitadas, e, em particular, por notificar a ANPD em caso de incidentes envolvendo dados pessoais;
- orientar os colaboradores da organização a respeito das melhores práticas a serem adotadas em proteção de dados, por meio da oferta de treinamentos periódicos e do acompanhamento orgânico da atuação dos colaboradores, bem como coordenar a condução de eventual programa de governança em privacidade e proteção de dados;
- implementar e executar atribuições determinadas pela organização ou mesmo por normas complementares.
Nesse sentido, é indicado que o DPO seja pessoa especialista em privacidade e proteção de dados, bem como que tenha noções sobre segurança da informação, uma vez que é o grande responsável pela gestão das demandas referentes à proteção de dados na organização.
Além disso, visando desempenhar suas funções e atribuições de forma mais assertiva, o DPO pode se valer de uma equipe própria, que o auxiliará nas demandas do dia a dia; pode delegar e gerenciar tarefas a outros setores da organização; e pode atuar em conjunto de Consultores Externos, visando a solução ou a mitigação de problemas, ou mesmo a melhoria de processos internos.
Fica evidente, portanto, que o DPO cumpre papel essencial não apenas na governança das organizações em relação à proteção de dados, mas, também, na construção e na consolidação de uma verdadeira cultura de privacidade e proteção de dados, elemento fundamental para a incorporação das boas práticas desenvolvidas pela empresa.
02. A MINHA EMPRESA PRECISA DE UM DPO?
Tendo em vista as qualidades e características necessárias para um bom DPO, as várias atribuições pelas quais esse profissional é responsável e a baixa oferta de profissionais qualificados para essa função, contratar um DPO pode não ser a tarefa mais fácil ou barata de todas, especialmente para pequenas empresas – ainda que essa figura seja essencial para qualquer organização.
Conforme o §3º do artigo 41 da LGPD, o Conselho Diretor da ANPD aprovou, via Resolução 2/2022, o Regulamento de aplicação da LGPD para agentes de pequeno porte, o qual flexibiliza e facilita o cumprimento de algumas obrigações por essas organizações. De acordo com o artigo 2º do Regulamento, são considerados agentes de pequeno porte:
- micro empresas e empresas de pequeno porte;
- startups;
- pessoas jurídicas de direito privado, inclusive aquelas sem fins lucrativos, como associações, fundações, partidos políticos e organizações religiosas;
- pessoas naturais ou entes despersonalizados que assumam obrigações típicas de controlador ou operador, em razão de realizarem tratamento de dados pessoais.
No entanto, as organizações que queiram se beneficiar do tratamento jurídico diferenciado referente à Resolução deverão se atender a algumas limitações: Nos termos do artigo 4º, não poderão se beneficiar de tal tratamento:
- organizações que realizam tratamento de dados pessoais de alto risco para os titulares – você pode saber mais sobre o que é tratamento de alto risco e a aplicação simplificada da LGPD clicando aqui;
- organizações que possuam faturamento anual superior ao limite de R$4.8 milhões;
- no caso específico de startups, empresas que possuam faturamento superior a R$16 milhões no ano anterior, ou superior a R$1.333.334,00 multiplicado pelo número de meses de atividade da startup no anterior, quando inferior a 12 meses;
- organizações que pertençam a grupo econômico que ultrapasse os limites de faturamento adotados especificamente para startups.
Nesse sentido, de acordo com o artigo 11 do Regulamento, os agentes de tratamento de pequeno porte que não pratiquem atividades de alto risco não são obrigados a indicar encarregado. Tal flexibilização vem no sentido de ajudar organizações que não tenham caixa para contratar um DPO.
Isso impacta, especialmente, na realidade de startups, as quais, visando a validação de um modelo de negócios enxuto e escalável, vêem-se desobrigadas de um gasto que poderia colocar em risco a saúde financeira da empresa.
No entanto, o Regulamento estipula que a indicação de encarregado por agente de tratamento de pequeno porte será considerada como boa prática de governança e, eventualmente, poderá minimizar eventuais sanções da ANPD.
Além disso, o agente de tratamento que optar por não indicar encarregado deve criar e disponibilizar canal de comunicação com o titular de dados por meio do qual seja possível realizar as atribuições do encarregado frente aos titulares.
CONCLUSÃO
O DPO é um profissional de extrema importância para qualquer organização, tendo em vista suas atribuições e as obrigações impostas pela LGPD.
No entanto, agentes de tratamento de pequeno porte que estejam dentro dos limites de faturamento e que não realizem atividades de alto risco não são obrigados a designar um DPO. No entanto, elas devem indicar canal de comunicação com o titular de dados, visando facilitar a comunicação.
Ainda, o agente de tratamento de pequeno porte que opte por indicar encarregado poderá ter eventuais sanções minimizadas.
Por fim, destacamos que a facilitação do cumprimento das obrigações da LGPD aqui referidas não isenta os agentes de tratamento de pequeno porte de cumprir as demais obrigações trazidas pela LGPD.
Também recomendamos que, antes de tomar qualquer decisão, consulte um advogado especializado.
Caso queira continuar conversando sobre o tema, não deixe de nos contactar pelo email contato@aguilaradvocacia.com ou pelo Whatsapp clicando aqui.
Texto escrito por Marco Túlio Loureiro, estagiário da Aguilar Advocacia