Encarregado de Dados e Data Protection Officer: figuras idênticas?

O Encarregado Pelo Tratamento de Dados Pessoais (“Encarregado”) é um ator importante para a adequação das empresas à Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/18).

As figuras do Encarregado pelo Tratamento de Dados Pessoais, definido pela LGPD, e do Data Protection Oficcer (DPO), conceituado na General Data Protecion Regulation (regulamento da União Europeia sobre a proteção de dados pessoais) são muitas vezes tratadas como idênticas.

Contudo, guardam entre si distinções relevantes que implicam em diferenças de responsabilidade quanto à proteção de dados pessoais. A diferença aparece logo na definição que as legislações de proteção de dados pessoais trazem destes personagens.

Segundo a LGPD, o Encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)” (art. 5º, VIII, LGPD).

Enquanto isso, encontra-se na GDPR a definição do Data Protection Officer como uma pessoa com conhecimento jurídico e informacional sobre a proteção de dados pessoais, cuja função é assistir os agentes de tratamento no monitoramento interno da observância à legislação que disciplina a proteção de dados pessoais (Recital 97 e Key Issues: “Data Protection Officer”, GDPR).

 

Assim, a legislação europeia confere um maior grau técnico para o conceito de DPO, enquanto a legislação brasileira desenha uma natureza mais conectiva da categoria de Encarregado.

Essa distinção é importante, pois se desdobra em uma série de atribuições distintas ao DPO e ao Encarregado pelo Tratamento de Dados Pessoais. Enquanto o primeiro possui um leque mais amplo de tarefas (“tasks”) que vão culminar em uma responsabilidade maior pelo tratamento de dados pessoais, o segundo possui papel de intermediário entre os titulares, os agentes de tratamento e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).

O quadro comparativo a seguir sintetiza as principais diferenças entre as figuras do Encarregado para a LGPD e do DPO para a GDPR:

 

QUADRO COMPARATIVO – ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (LGPD) E DATA PROTECTION OFFICER (GDPR)

  Encarregado de dados (LGPD) Data Protecion Officer (GDPR)
 

 

Definição

 

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

 

Uma pessoa com conhecimento especializado do direito e das práticas (Segurança de TI) de proteção de dados pessoais para assistir o agente de tratamento no monitoramento interno da observância à legislação.

 

 

 

 

 

 

 

 

 

 

 

Função e Deveres

 

· Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

· Receber comunicações da autoridade nacional e adotar providências;

· Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

· Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

· Atribuições sujeitas a ampliação por regulamento da ANPD.

 

· Orientar e monitorar a avaliação de impacto da proteção de dados pessoais;

· Envolvimento em todas as questões institucionais relacionadas à proteção de dados pessoais;

· R犀利士
eceber contatos dos titulares de dados pessoais sobre qualquer questão relativa ao tratamento e/ou ao exercício de direitos;

· Observar dever de confidencialidade;

· Pode possuir outras funções;

· Informar a instituição e todos os seus membros responsáveis pelo tratamento de dados pessoais sobre a legislação e regulamentos aplicáveis a esta atividade;

· Monitorar a observância da legislação, dos regulamentos e das políticas internas sobre proteção de dados pessoais, designando responsabilidades. promovendo a conscientização e o treinamento dos envolvidos no tratamento e em auditorias;

· Cooperar coma autoridade competente, atuando como contato para questões relativas ao tratamento, incluindo a consulta prévia à autoridade ou outras consultas;

· Atuar de acordo com a natureza e a complexidade do tratamento.

 

 

Obrigação de nomear

 

Obrigatório para o controlador de dados pessoais, inclusive para órgãos públicos.

Há controvérsias sobre a necessidade de indicação por operadores, embora o art. 5º, inc. VIII, da LGPD, afirme que o encarregado é indicado “pelo controlador e operador”.

Hipóteses de dispensa de indicação sujeitas a definição por regulamento da ANPD – ainda inexistente.

 

Depende da centralidade e da escala do tratamento para entes privados e é obrigatória para entes públicos. Podem ser designados mesmo no caso de não ser o tratamento de dados central ou em larga escala

 

 

Contratação

 

Pode ser parte do quadro institucional ou prestador de serviços externo

 

Pode ser parte do quadro institucional ou prestador de serviços externo

 

 

 

 

Autonomia

 

Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições.

 

Deve ter acesso aos recursos necessários para a função, inclusive quanto ao conhecimento técnico adequado;

Não deve receber ordens sobre o exercício de sua função;
Não pode ser demitido ou penalizado pelo exercício de sua função;
Deve se reportar diretamente ao órgão máximo de administração da entidade.

 

Contato

 

A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente, no site do controlador.

 

Os detalhes de contato devem ser publicados, encaminhados às autoridades competente e incluídos no registro das atividades de tratamento.

Quanto às funções e deveres elencados no quadro acima, é visível que ao DPO foram atribuídas mais tarefas pela legislação europeia em relação ao Encarregado na legislação brasileira.

A responsabilidade do Encarregado por eventuais danos causados aos titulares no tratamento de dados pessoais, por sua vez, repercute a abordagem mais lacônica da lei brasileira a respeito de suas funções, assunto que será tratado no próximo artigo sobre o Encarregado pelo Tratamento de Dados Pessoais.

Rennan Klingelfus Gardoni: Advogado na Moreno Moro Advogados, inscrito na OAB/PR sob o nº 103.887. Mestre e Bacharel em Direito pela Universidade Federal do Paraná (UFPR). Foi bolsista de mestrado do Programa de Excelência Acadêmica da CAPES. É Pós-graduando em Privacidade e Proteção de Dados (ESMAFE/PR e ESA/PR). Membro da Comissão de Inovação e Gestão da Ordem dos Advogados do Brasil – Seção do Paraná (OAB/PR).

Newsletter

Ao se cadastrar em nossa newsletter, você adere aos termos de uso do site e à política de privacidade da Moreno Moro Advogados.

2023 © MORENO MORO. Todos os direitos reservados
Desenvolvido estrategicamente pelo Envox.