O papel do DPO na demonstração de accountability da empresa
Denominado de encarregado pela Lei Geral de Proteção de Dados (LGPD) e de
data protection officer (DPO) pelo Regulamento Geral de Proteção de Dados (GDPR), a figura desse profissional é essencial para a demonstração da responsabilidade da organização e
accountability.A LGPD dispõe de três artigos que falam sobre o papel do encarregado: 1) o artigo 5, VII, que define o encarregado como a pessoa indicada pelos agentes de tratamento para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados; 2) o artigo 23, III, que declara que as organizações públicas também têm o dever de indicar um encarregado; e 3) o artigo 41, que especifica que os controladores, e aqui não há menção aos operadores, devem indicar um encarregado pelo tratamento de dados pessoais.
O encarregado, portanto, possui a dupla função de proteger os titulares e os seus direitos à proteção de dados e de assessorar a organização, seja controlador ou operador, dos riscos jurídicos, comerciais e reputacionais decorrentes do não cumprimento da lei.
A norma legal determina que o encarregado é responsável por receber reclamações e comunicações dos titulares e da ANPD, assessorar e orientar as organizações acerca da conformidade com a lei e a execução de atribuições determinadas pelo controlador ou que vierem a ser estabelecidas através de normas complementares.
A responsabilidade ética é o princípio fundamental da LGPD. E incumbe ao agente de tratamento a demonstração da adoção de medidas eficazes, capazes de comprovar a observância das normas de proteção de dados, consoante determina o artigo 6, X, do instrumento legal.
Nesse sentido, inobstante a ANPD recentemente ter publicado minuta de resolução sobre flexibilizações aos agentes denominados de pequeno porte, com base no disposto no artigo 41, §3, da norma legal, a referida minuta ainda está pendente de definição. E, por essa razão, neste momento não é possível abordar integralmente o assunto, o que não impede que possamos prever alguns cenários levando-se em conta as orientações internacionais e os estudos de casos provenientes da União Europeia.
Cabe registrar que mesmo aquelas organizações que se tornarem isentas pelas recomendações da ANPD terão a faculdade de optar por nomear um encarregado, tendo em vista que, sem sombra de dúvida, a existência desse profissional é de incontroversa importância para auxiliar no cumprimento das obrigações de conformidade à Lei Geral de Proteção de Dados.
Até porque a possível isenção na nomeação do encarregado não desobriga a empresa de fornecer canal de comunicação para que os titulares de dados logrem êxito em exercer os seus direitos elencados nos artigos 17 a 22 da LGPD.
No Brasil, após quase dois anos de vigência da LGPD, a expectativa é de que neste próximo ano haja um aumento da procura de profissionais que exerçam a função de encarregado. E, nessa linha, aponta o estudo recente da
International Association of Privacy Professionals (IAPP), denominado "Relatório de Governança em Privacidade da IAPP-FTI", que estimou que a lei recentemente implementada exigirá 50 mil encarregados apenas no Brasil
[1].
Sendo assim, cada vez mais é inconteste a relevância do papel do encarregado como um facilitador do processo de adequação à proteção de dados. E, lembrando que a proteção de dados é um direito fundamental no Brasil e que a função do encarregado consiste em assegurar o direito à proteção de dados dos titulares, é possível concluirmos que a nomeação desse profissional por parte da empresa aumenta o nível de confiabilidade da organização e ilustra, na prática, a responsabilidade ética e
accountability exigidos pela lei.
Portanto, acreditamos que, conforme cresçam a maturidade da cultura da proteção de dados no Brasil e o melhor entendimento das vantagens de investimentos direcionados à mitigação de riscos como diferencial comercial do modelo de negócio, maior será a procura por profissionais qualificados para exercerem a função de encarregado.
Fonte: Conjur