Denominado de encarregado pela Lei Geral de Proteção de Dados (LGPD) e de Data Protection Officer (DPO) pelo Regulamento Geral de Proteção de Dados (GDPR), a figura deste profissional é essencial para a demonstração da responsabilidade da organização e accountability.
A LGPD dispõe de três artigos que falam sobre o papel do encarregado: i) o art. 5, VII, que define o encarregado como a pessoa indicada pelos agentes de tratamento para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados; ii) o art. 23, III, declara que as organizações públicas também têm o dever de indicar um encarregado; e, III) o art. 41 que especifica que os controladores, e aqui não há menção aos operadores, devem indicar um encarregado pelo tratamento de dados pessoais.
O encarregado, portanto, possui a dupla função de proteger os titulares e os seus direitos à proteção de dados e de assessorar a organização, seja controlador ou operador, dos riscos jurídicos, comerciais e reputacionais decorrentes do não cumprimento da lei.
A norma legal determina que o encarregado é responsável por receber reclamações e comunicações dos titulares e da ANPD, assessorar e orientar as organizações acerca da conformidade com a lei e a execução de atribuições determinadas pelo controlador ou que vierem a ser estabelecidas através de normas complementares.
A responsabilidade ética é o princípio fundamental da LGPD. E, incumbe ao agente de tratamento a demonstração da adoção de medidas eficazes, capazes de comprovar a observância das normas de proteção de dados, consoante determina o art. 6, X do instrumento legal.
Nesse sentido, inobstante a ANPD recentemente ter publicado a Minuta de Resolução sobre flexibilizações aos agentes denominados de pequeno porte, com base no disposto no art. 41, §3 da norma legal, a referida minuta ainda está pendente de definição. E, por esta razão, neste momento, não é possível abordar integralmente o assunto, o que não impede que possamos prever alguns cenários levando-se em conta as orientações internacionais e estudos de casos proveniente da União Europeia.
Cabe registrar que mesmo àquelas organizações que se tornarem isentas pelas recomendações da ANPD têm a faculdade de optar por nomear um encarregado, tendo em vista que, sem sombra de dúvida, a existência deste profissional é de incontroversa importância para auxiliar no cumprimento das obrigações de conformidade à Lei Geral de Proteção de Dados.
Até porque a possível isenção na nomeação do encarregado não desobriga a empresa de fornecer canal de comunicação para que os titulares de dados logrem êxito em exercer os seus direitos elencados nos artigos 17 a 22 da LGPD.
No Brasil, após quase dois anos de vigência da LGPD, a expectativa é de que neste próximo ano haja um aumento da procura de profissionais que exerçam a função de encarregado. E, nesta linha, aponta o estudo recente da International Association of Privacy Professionals (IAPP) denominado Relatório de Governança em Privacidade da IAPP-FTI e que estimou que a lei recentemente implementada exigirá 50 mil encarregados, apenas no Brasil (1).
Sendo assim, cada vez mais é inconteste a relevância do papel do encarregado como um facilitador do processo de adequação à proteção de dados. E, lembrando que a proteção de dados é um direito fundamental no Brasil e que a função do encarregado consiste em assegurar o direito à proteção de dados dos titulares, é possível concluirmos que a nomeação deste profissional por parte da empresa aumenta o nível de confiabilidade da organização e ilustra, na prática, a responsabilidade ética e accountability, exigidos pela lei.
Portanto, acreditamos que conforme cresça a maturidade da cultura da proteção de dados no Brasil e o melhor entendimento das vantagens de investimentos direcionados à mitigação de riscos como diferencial comercial do modelo de negócio, maior será a procura por profissionais qualificados para exercerem a função de encarregado.
*Martha Leal é advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht, Fellow do Instituto Nacional de Proteção de Dados (INPD) e sócia da JP Leal Advogados
(1) Link