Quando falamos em proteção de dados, a sigla LGPD é sempre mencionada, e ao lado dela surge uma figura de crescente importância: o Encarregado, ou DPO (Data Protection Officer). Em dezembro de 2024, a ANPD (Autoridade Nacional de Proteção de Dados) lançou um guia detalhado para esclarecer o papel desse profissional e como as empresas podem se organizar. Vamos entender melhor?
O encarregado é o profissional que garante que a empresa siga as diretrizes da LGPD no tratamento de dados pessoais. Ele atua como intermediário entre a organização, os titulares dos dados e a ANPD, e sua principal missão é orientar a empresa sobre as melhores práticas para garantir que os dados sejam tratados de forma segura e conforme a legislação.
Quem precisa designar um encarregado?
O guia da ANPD é claro: empresas que decidirem sobre o tratamento de dados (controladores) devem obrigatoriamente nomear um encarregado. Já aquelas que apenas executam as ordens do controlador (operadores) podem, mas é altamente recomendado também indicar alguém para a função.
A nomeação não é algo simbólico. A escolha deve ser formalizada por meio de um documento que comprove a designação de uma pessoa (física ou jurídica) para a função. Além disso, as informações de contato do encarregado precisam estar visíveis e acessíveis ao público, preferencialmente no site da empresa.
Quando a nomeação do encarregado não é obrigatória?
A legislação oferece uma exceção para empresas de pequeno porte. Se a empresa não realizar tratamento de dados de alto risco, tiver receita bruta inferior a R$ 4,8 milhões e não fizer parte de um grupo maior com receitas acima desses limites, ela pode ser dispensada de nomear um encarregado.
Porém, mesmo para essas empresas, a criação de um canal de comunicação com o titular de dados continua sendo essencial. A nomeação do encarregado, mesmo facultativa, é uma prática recomendada para garantir transparência e boas práticas.
O papel do encarregado: Mais do que um ponto de contato
O encarregado tem diversas responsabilidades que vão além de ser um simples intermediário. O guia da ANPD detalha as várias funções desse profissional:
- Canal direto de comunicação: Ele recebe as reclamações dos titulares de dados, esclarece dúvidas e toma as providências necessárias em relação aos direitos dos indivíduos, além de responder às solicitações da ANPD.
- Orientador interno: Ele é responsável por treinar e orientar os colaboradores sobre práticas de proteção de dados, elaborar políticas de privacidade e manter o registro das operações de tratamento de dados.
- Consultor da organização: O encarregado ajuda a elaborar relatórios de impacto à proteção de dados, define medidas de segurança, revisa contratos e supervisiona as transferências internacionais de dados, entre outras atividades.
- Monitor da privacidade: Ele acompanha o programa de privacidade da empresa, identifica riscos, sugere soluções e contribui com dados para auditorias.
- Gestor de incidentes: Em caso de incidentes de segurança envolvendo dados pessoais, o encarregado é responsável pelo registro e pela comunicação à ANPD e aos titulares de dados.
Autonomia e imparcialidade
O encarregado deve atuar de forma independente, sem conflitos de interesse que possam comprometer sua imparcialidade. É importante que ele não tenha envolvimento direto nas decisões estratégicas de tratamento de dados, para garantir que suas análises e recomendações sejam sempre objetivas e focadas na proteção de dados pessoais.
Com o novo guia, a ANPD reforça que a LGPD não deve ser vista apenas como uma lista de tarefas a serem cumpridas, mas como uma forma de estabelecer uma relação transparente e ética com os clientes.
