O Encarregado Pelo Tratamento de Dados Pessoais (“Encarregado”) é um ator importante para a adequação das empresas à Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/18).
As figuras do Encarregado pelo Tratamento de Dados Pessoais, definido pela LGPD, e do Data Protection Oficcer (DPO), conceituado na General Data Protecion Regulation (regulamento da União Europeia sobre a proteção de dados pessoais) são muitas vezes tratadas como idênticas.
Contudo, guardam entre si distinções relevantes que implicam em diferenças de responsabilidade quanto à proteção de dados pessoais. A diferença aparece logo na definição que as legislações de proteção de dados pessoais trazem destes personagens.
Segundo a LGPD, o Encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)” (art. 5º, VIII, LGPD).
Enquanto isso, encontra-se na GDPR a definição do Data Protection Officer como uma pessoa com conhecimento jurídico e informacional sobre a proteção de dados pessoais, cuja função é assistir os agentes de tratamento no monitoramento interno da observância à legislação que disciplina a proteção de dados pessoais (Recital 97 e Key Issues: “Data Protection Officer”, GDPR).
Assim, a legislação europeia confere um maior grau técnico para o conceito de DPO, enquanto a legislação brasileira desenha uma natureza mais conectiva da categoria de Encarregado.
Essa distinção é importante, pois se desdobra em uma série de atribuições distintas ao DPO e ao Encarregado pelo Tratamento de Dados Pessoais. Enquanto o primeiro possui um leque mais amplo de tarefas (“tasks”) que vão culminar em uma responsabilidade maior pelo tratamento de dados pessoais, o segundo possui papel de intermediário entre os titulares, os agentes de tratamento e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
O quadro comparativo a seguir sintetiza as principais diferenças entre as figuras do Encarregado para a LGPD e do DPO para a GDPR:
|
QUADRO COMPARATIVO – ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (LGPD) E DATA PROTECTION OFFICER (GDPR) |
|||
| Encarregado de dados (LGPD) | Data Protecion Officer (GDPR) | ||
|
Definição |
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) |
Uma pessoa com conhecimento especializado do direito e das práticas (Segurança de TI) de proteção de dados pessoais para assistir o agente de tratamento no monitoramento interno da observância à legislação. |
|
|
Função e Deveres |
· Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; · Receber comunicações da autoridade nacional e adotar providências; · Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; · Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. · Atribuições sujeitas a ampliação por regulamento da ANPD. |
· Orientar e monitorar a avaliação de impacto da proteção de dados pessoais; · Envolvimento em todas as questões institucionais relacionadas à proteção de dados pessoais; · R犀利士 · Observar dever de confidencialidade; · Pode possuir outras funções; · Informar a instituição e todos os seus membros responsáveis pelo tratamento de dados pessoais sobre a legislação e regulamentos aplicáveis a esta atividade; · Monitorar a observância da legislação, dos regulamentos e das políticas internas sobre proteção de dados pessoais, designando responsabilidades. promovendo a conscientização e o treinamento dos envolvidos no tratamento e em auditorias; · Cooperar coma autoridade competente, atuando como contato para questões relativas ao tratamento, incluindo a consulta prévia à autoridade ou outras consultas; · Atuar de acordo com a natureza e a complexidade do tratamento. |
|
|
Obrigação de nomear |
Obrigatório para o controlador de dados pessoais, inclusive para órgãos públicos. Há controvérsias sobre a necessidade de indicação por operadores, embora o art. 5º, inc. VIII, da LGPD, afirme que o encarregado é indicado “pelo controlador e operador”. Hipóteses de dispensa de indicação sujeitas a definição por regulamento da ANPD – ainda inexistente. |
Depende da centralidade e da escala do tratamento para entes privados e é obrigatória para entes públicos. Podem ser designados mesmo no caso de não ser o tratamento de dados central ou em larga escala |
|
|
Contratação |
Pode ser parte do quadro institucional ou prestador de serviços externo |
Pode ser parte do quadro institucional ou prestador de serviços externo |
|
|
Autonomia |
Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. |
Deve ter acesso aos recursos necessários para a função, inclusive quanto ao conhecimento técnico adequado; Não deve receber ordens sobre o exercício de sua função; |
|
|
Contato |
A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente, no site do controlador. |
Os detalhes de contato devem ser publicados, encaminhados às autoridades competente e incluídos no registro das atividades de tratamento. |
|
Quanto às funções e deveres elencados no quadro acima, é visível que ao DPO foram atribuídas mais tarefas pela legislação europeia em relação ao Encarregado na legislação brasileira.
A responsabilidade do Encarregado por eventuais danos causados aos titulares no tratamento de dados pessoais, por sua vez, repercute a abordagem mais lacônica da lei brasileira a respeito de suas funções, assunto que será tratado no próximo artigo sobre o Encarregado pelo Tratamento de Dados Pessoais.
Rennan Klingelfus Gardoni: Advogado na Moreno Moro Advogados, inscrito na OAB/PR sob o nº 103.887. Mestre e Bacharel em Direito pela Universidade Federal do Paraná (UFPR). Foi bolsista de mestrado do Programa de Excelência Acadêmica da CAPES. É Pós-graduando em Privacidade e Proteção de Dados (ESMAFE/PR e ESA/PR). Membro da Comissão de Inovação e Gestão da Ordem dos Advogados do Brasil – Seção do Paraná (OAB/PR).