Como já de conhecimento de muitos, a Lei Geral de Proteção de Dados (LGPD) foi sancionada no Brasil desde 2018 para Regular e Proteger os direitos fundamentais de liberdade e de privacidade, criando normas a serem seguidas por empresas e governos para a coleta e o tratamento de dados pessoais (como nome, CPF, endereço) e de dados sensíveis (como biometria e informações sobre política e religião).
A Autoridade Nacional de Proteção de Dados (ANPD), órgão que regula, fiscaliza e exerce outras funções com base na Lei Geral de Proteção de Dados Pessoais (LGPD), publicou em maio de 2021, Guia Orientativo “Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado”. Naquela oportunidade a ANPD se preocupou em formar conceitos e definições das principais figuras que regem a LGPD, como por exemplo o Controlador, o Operador e o Encarregado. Neste momento, abordaremos neste pequeno texto sobre a importância do Encarregado na organização empresarial, também conhecido como Data Protection Officer (DPO).
Inicialmente, vale destacar que a LGPD não distingue se o Encarregado deve ser pessoa física ou jurídica e se deve ser um funcionário da organização ou um agente externo. No entanto, considerando as boas práticas internacionais, o Encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica, ou seja, há permissão para que o Encarregado seja um agente terceirizado contratado formalmente pela empresa.
Vale destacar que o Encarregado possui enorme importância dentro da organização empresarial, pois o seu foco deverá ser norteado pela transparência e segurança de dados, isto quer dizer que o Encarregado promoverá e zelará pela segurança dos dados tratados, exercendo a máxima transparência possível, inclusive para responder aos anseios exigidos pela LGPD e pela ANPD.
Paralelamente, temos que as funções do Encarregado, dentre as inúmeras competências que lhe foram atribuídas, possuem 3 (Três) pilares que são fundamentais para sua gestão. No primeiro pilar, temos o dever de resguardar as informações da organização, seus colaboradores e clientes, mais comumente conhecido como Segurança da Informação. Será neste cenário que o Encarregado fará, por exemplo, o Plano de Segurança da Informação (PSI), que deverá abordar parâmetros efetivos para promover a segurança esperada quando do tratamento de dados.
No segundo pilar, temos o que chamamos de Treinamento e Manutenção, ou seja, será neste campo de atuação que o Encarregado colocará em teste, na organização empresarial, todo o Plano de Segurança desenvolvido. Será neste momento em que as áreas internas da organização deverão promover seus esforços para mitigar e conter incidentes ou vazamento de dados. Recomenda-se que os treinamentos sejam feitos com periodicidade, a fim de garantir a plenitude e eficiência do Programa.
Já no terceiro pilar, contamos com a Atuação Responsiva, ou seja, é importantíssimo que o Encarregado atue ativamente em casos de Incidentes ou de vazamento de dados. Será neste momento, por exemplo, que o Encarregado deverá descrever a natureza dos dados afetados, informações sobre Titulares envolvidos, Indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, Riscos relacionados ao incidente, bem como a comunicação aos órgãos competentes, como a ANPD.
Portanto, fica clara a demonstração do tamanho de importância que o Encarregado possui dentro da organização empresarial. É importantíssimo que seja plenamente capaz de conduzir processos internos e externos, inclusive para evitar ao máximo riscos de incidentes ou vazamentos que possam afetar a empresa. Dizemos, ainda, que o Encarregado deverá ser livre na realização de suas atribuições, com conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
Rafael Bernardi, Fundador do escritório Bernardi Advogados & Associados, certificado CIPM – Information Privacy Manager (DPO)