Rosângela Benetti Almeida
Advogada. Especialista em LGPD.
O advogado e professor Henrique Farretti Moraes mostra quem deve ser, o papel, as responsabilidades do encarregado, segundo a LGPD, fazendo comparações ilustrativas com o DPO do GDPR.
Segundo o autor, o DPO está intrinsicamente ligado à posição de governança corporativa, num patamar com as posições de governança, controle e compliance. Teria a liderança de monitoramento, avaliação de riscos, investigação, reposta e accountability (uma espécie de responsabilização com letras maiúsculas): prestação de contas.
DPO E ACCOUNTABILITY
“Accountability” é uma prestação de contas, uma responsabilização por fazer, apresentar, divulgar de forma concisa, compreensível e no tempo certo.
Tem que ser demonstrado que a organização está em conformidade com regras e obrigações, com a estrutura de proteção de dados, demonstrando sua eficácia.
O DPO é o agente de governança, responsável por monitorar a conformidade com as regras de privacidade.
Deve se remeter a todos os itens do artigo 50 da LGPD porque ali está o programa de governança em privacidade e as boas práticas a serem seguidas, pois sua indicação (de Encarregado) é para cuidar e zelar que as atitudes dos agentes de tratamento sejam adequadas.
A responsabilidade é de receber reclamações e ter comunicação com a ANPD; prestar esclarecimentos e adotar providências, propagandear a cultura da proteção (educação digital), além de outras congêneres. Comparando o DPO com o nosso Encarregado, aqui a função é muita reativa e desidratada. Falta ainda a ANDP regulamentar e tratar mais o tema, apesar de ter emitido uma Cartilha recentemente.
O Encarregado gerencia o Programa de Privacidade e as indicações a fazer são imperativas: monitorar, mensurar, garantir, assistir, auxiliar, relacionar-se, garantir, executar, conduzir, manter! Vale dizer que com menos poder e papel inferior ao DPO ele deve cumprir várias tarefas.
O Encarregado é a pessoa indicada pelo controlador e operador, podendo ser pessoa física ou jurídica, ou seja, não precisa ser dos quadros da empresa ou instituição, podendo ser terceirizada, mas com as devidas qualificações. Pode ser uma ou mais pessoas, sem conflito de interesses.
Não há exceções ainda para indicação nas pequenas e microempresas, ficando a cargo da ANDP abrir a possiblidade.
O cargo deve ser publicitado e deve se dar formalidade, constando do site da instituição, bem como comunicar à ANPD.
As responsabilidades pela proteção estão essencialmente com o controlador, como no que couber ao operador, sendo o encarregado uma espécie de fiscal de todo o processo, sendo que a LGPD não estabelece responsabilidade civil ao encarregado, cabendo no que couber o que consta do Código Civil. As violações recaem sobre o controlador e encarregado, nos termos da LGPD.
Na estrutura organizacional dos agentes de tratamento de dados, o encarregado deve receber do controlador e operador todos os recursos necessários para exercer sua atividade.
Em caso de verificação de problemas, vazamentos, deve se reportar ao mais alto nível de gestão, comunicando de imediato ao titular e, quando for o caso, a ANPD.
Deve ter conhecimento da área de proteção de dados, ter também independência e ausência de conflito de interesse no exercício da sua atividade.
O Encarregado deve estar o mais próximo possível da instituição, mesmo que não haja restrição de localização geográfica.
A atividade do encarregado vai além do que diz o artigo da lei, tendo que ser na verdade um agente de accountabiity e facilitador da conformidade.