A Lei Geral de Proteção de Dados Pessoais (Lei nº13.709/2018) trouxe um novo personagem com atribuições e responsabilidades que é o encarregado. Mesmo após a vigência da lei que permite, inclusive, aplicação das sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) são poucas as empresas que indicam os seus encarregados. De acordo com artigo 41 da LGPD: "o controlador de dados deverá indicar um encarregado pelo tratamento de dados pessoais" . Trata-se de uma determinação legal, ou seja, a ausência do cumprimento traz uma série de complicações para as empresas.
Então por que as empresas continuam a não indicar os seus encarregados(as)?
Listamos 5 (cinco) tipos de situações encontradas nas empresas que não realizaram a indicação do seu encarregado(a) ou como é conhecido no mercado, DPO (Data Protection Officer).
1. Desconhecem a obrigatoriedade
Durante a condução de projetos de adequação é comum que as empresas que estão realizando seus projetos apresentem o estranhamento quando perguntado quem será o encarregado(a) nomeado. Muitas empresas desconhecem que precisam de profissionais para ocupar esta função e tem aquelas que acreditam que a execução do projeto de adequação já as tornaram aderentes.
O que diz a Lei Geral de Proteção de Dados Pessoais?
O artigo 41 da LGPD diz: "o controlador de dados deverá indicar um encarregado pelo tratamento de dados pessoais."
Resultado: É obrigatório a indicação do encarregado(a)
2. Acreditam que é uma obrigatoriedade apenas para empresas de tecnologia
Algumas empresas entrevistadas sobre o andamento dos projetos de adequação quando questionadas do por quê não indicaram o encarregado(a), informam que esta exigência da lei é direcionada apenas para as empresas de tecnologia e, portanto, não tem a obrigatoriedade de nomear ou eleger alguém para essa função.
O que diz a Autoridade Nacional de Proteção de Dados?
A ANPD publicou em maio de 2021 o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado esclarecendo a dúvida da seguinte forma:
"Ao contrário de outras legislações de proteção de dados estrangeiras, a LGPD não determinou em que circunstâncias uma organização deve indicar um encarregado. Assim, deve-se assumir, como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel."
Resultado: É obrigatório a indicação do encarregado(a), independentemente, do segmento ou ramo de atividade da empresa.
3. Sabem da necessidade, mas preferem arriscar
Existem empresas que sabem da exigência legal quanto a indicação do encarregado de proteção de dados. Tiveram acesso às orientações da ANPD sobre o tema, mas acreditam que é possível seguir como estão. Mesmo que haja denúncia ou reclamações junto a ANPD conseguirão indicar "alguém" provisoriamente, apenas para cumprir as demandas legais.
O que diz a Lei Geral de Proteção de Dados Pessoais?
O § 1º do art. 41 da LGPD diz:
"A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador."
Resultado: A identificação do encarregado deve ser, previamente publicada nos meios digitais da empresa.
4. Acham que o Encarregado é um profissional extremamente "caro" para a empresa
Para algumas empresas o encarregado(a) também conhecido como DPO é um profissional extremamente caro. Por não terem previsto no budget, não realizam a contratação desse profissional.
O que diz a Autoridade Nacional de Proteção de Dados?
"A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo."
Resultado: A indicação do encarregado(a) pode ser realizada por meio da contratação de serviços, ou seja, de um representante externo, desde que seja formalizado por meio de contrato.
5. Esperam uma orientação diferente da ANPD
Para algumas empresas a LGPD é muito recente e a ANPD fará outras orientações sobre qual segmento da empresa e/ou porte se exigirá um encarregado(a) utilizando como base o § 3º do art. 41 da LGPD: "A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados."
Resultado: A ANPD, até a presente data, não realizou orientação com base no § 3º do art. 41 da LGPD, portanto vale o que está determinado na lei, deste modo as empresas estão expostas ao risco pelo não cumprimento da obrigação, por isso devem nomear um encarregado(a).
Autor: Adílio Santos (Encarregado de tratamento de dados)
Data de publicação: 20/08/2021
Material consultado:
Lei Geral de Proteção de Dados Pessoais (Lei nº13.709/2018).
Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado
Comments