Todas as pessoas jurídicas devem nomear um ''Encarregado do Tratamento de Dados'', entenda quem ele é
A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) disciplina o tratamento de dados pessoais realizado por pessoas jurídicas de direito público e privado (art. 3º), abrangendo também aquelas sem fins lucrativos – sociedades empresárias, associações, fundações, organizações religiosas, partidos políticos, empresas individuais de responsabilidade limitada, além das entidades públicas (arts. 41 e 44 do Código Civil brasileiro).
Se a pessoa jurídica realiza tratamento de dados em nome próprio ou com poder decisório sobre as finalidades e principais questões envolvidas no tratamento, ela se qualifica como controladora e deve nomear um Encarregado do Tratamento de Dados (art. 41 da LGPD),
Seja um colaborador interno ou um agente externo, contratado, o Encarregado do Tratamento de Dados é a pessoa responsável por garantir a conformidade da organização com a LGPD, por disseminar internamente uma cultura de proteção de dados, além de ser a interface entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD. Deve o Encarregado, desde orientar o Controlador (a quem compete as decisões sobre tratamento de dados), até conscientizar colaboradores e parceiros sobre a importância da proteção e o tratamento adequado dos dados.
Dentre as atribuições do Encarregado do Tratamento de Dados estão as de receber as reclamações dos titulares dos dados e as comunicações da ANPD, respondê-las e tomar providências; orientar os empregados e os contratados da organização sobre as práticas necessárias à proteção de dados pessoais, dentre outras (art. 41, §2º da LGPD).
É o Encarregado de Dados quem conduz os processos de resposta a incidentes de segurança de dados e os reporta à ANPD.
A identidade do Encarregado e as suas informações de contato devem estar publicizados de modo claro, objetivo e de fácil acesso, de preferência no site da organização.
A lei assegura ao titular o acesso facilitado, de forma clara, adequada e ostensiva, às informações sobre o tratamento dos seus dados, dentre elas, a identidade e o contato do controlador, que pode remeter para o Encarregado do Tratamento de Dados, que será quem irá receber, responder e adotar as medidas adequadas, relativamente à demanda do titular de dados.
Embora seja informalmente chamado de DPO (Data Protection Officer), em alusão à figura prevista no Regulamento europeu (RGPD), há diferenças importantes entre o DPO e o Encarregado do Tratamento de Dados instituído na LGPD, sobretudo no tocante à autonomia de cada um.
O Encarregado do Tratamento de Dados pode assumir a natureza de pessoa física ou jurídica, devendo ser indicado por um ato formal, de natureza contratual ou administrativa, conforme o controlador seja uma pessoa jurídica de direito privado ou público.
Não é exigida uma formação específica do Encarregado do Tratamento de Dados, mas a experiência demonstra que deve ele conhecer profundamente o regime jurídico da proteção de dados e a LGPD, além de conhecer muito bem a organização. Sugere-se que seja uma pessoa dotada de boas competências interpessoais, já que deverá desempenhar funções de conscientização, instituição de novos processos e rotinas ou modificação dos existentes, o que interfere diretamente no modo como os colaboradores desempenham ordinariamente o seu trabalho. Deverá ter habilidade para relações interdisciplinares e saber ouvir, para entender cada setor da organização e interagir proativa e positivamente com todos eles.
O Encarregado do Tratamento de Dados pode trabalhar sozinho ou constituir uma equipe multidisciplinar, com profissionais de formação jurídica, de Tecnologia da Informação, gestores. A realidade concreta de cada organização é que definirá o formato, tendo-se presente que serão necessários conhecimentos pertinentes a estas áreas, em maior ou menor grau, e que o Encarregado poderá ter que buscá-los interna ou externamente à organização.
Por fim, embora disponha a Lei que a ANPD possa futuramente definir hipóteses de dispensa da necessidade de indicação do Encarregado do Tratamento de Dados, a regra geral vigente é que toda organização deverá indicar uma pessoa para desempenhar esta função.