Por Aline Triviño, consultora externa em Proteção de Dados no FCQ Advogados

Muito se fala na função do encarregado de dados numa corporação, ou para aqueles que gostam da expressão em inglês, DPO (Data Protection Officer). Mas afinal, quem é ou deve ser essa pessoa? Essa figura é obrigatória para todas as empresas?

O Encarregado de Dados ou DPO é a pessoa que atua como canal de comunicação entre o controlador, os titulares (donos dos dados) e a ANPD (Agência Nacional de Proteção de Dados).

DPO (Data Protection Officer) é uma função (ou cargo) trazida pela legislação europeia (GDPR), que possui critérios objetivos quanto a sua obrigatoriedade. Ou seja, se a empresa atender a determinados requisitos, estará obrigada a possuir uma pessoa com o cargo/função de Data Protection Officer.

Já a legislação brasileira, por sua vez, trouxe a função do Encarregado de Dados, mas não estabeleceu critérios objetivos, cabendo a Autoridade Nacional de Proteção de Dados tal tarefa, conforme regra do artigo 41, §3º da Lei Geral de Proteção de Dados. Sendo assim, caberá a ANPD às orientações e expedição de resoluções para organização de tal função.

Mas afinal, é uma figura obrigatória? SIM! Vejamos: o artigo 41 da LGPD traz como obrigatória, mas em seu parágrafo terceiro, faculta à ANPD a possibilidade de isentar determinadas empresas de tal determinação. Isso quer dizer que, enquanto não houver manifestação contrária pela ANPD, a função do Encarregado de Dados é indispensável e todas as empresas deverão indicar um responsável.

E quem poderá ser essa pessoa? Pois bem, a lei não estabelece a necessidade de uma pessoa física. O Encarregado de Dados poderá ser um funcionário da instituição ou uma empresa terceirizada, através de um consultor com conhecimento e preparo. O eleito deverá estar pronto para enfrentar, desde questões relacionadas ao dia a dia da corporação, até casos extremos de incidentes envolvendo dados pessoais sob sua responsabilidade.

E quais são as atividades do Encarregado de Dados? (I) - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (II) - receber comunicações da autoridade nacional e adotar providências; (III) - orientar aos funcionários e aos contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (IV) - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Sendo assim, podemos concluir que o papel do Encarregado de Dados é obrigatório, possuindo um papel determinado, até que a ANPD diga ao contrário. Pode ser uma pessoa física ou jurídica, desde que com expertise para atuar em tal função.