Por Dr. Alexandre Guirão | Guirão Advogados
Desde que entrou em vigor a LGPD, uma nova sigla, que designa uma função corporativa, passou a integrar o vocabulário empresarial: DPO, abreviação da expressão inglesa Data Protection Officer, que, aqui no Brasil (e na LGPD), equivale à Função do ENCARREGADO pelo Tratamento de Dados Pessoais (art. 41). Entre as funções desse “cargo” estão:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- executar as demais atribuições determinadas pelo controlador (através de contrato de trabalho ou de prestação de serviços) ou estabelecidas em normas complementares.
Mas a proposta de regulamentação da ANPD para os Agentes de Tratamento de Dados Pessoais de Pequeno Porte DISPENSA esses Agentes da obrigatoriedade de nomear uma pessoa para essa atividade.
Já é um consenso que o ENCARREGADO ou DPO, aqui no Brasil, pode ser tanto uma pessoa física como uma pessoa jurídica e, nessa toada, a LGPD estendeu algumas funções desse cargo a entidades de representação da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Porém, uma exigência para o Agente de Tratamento de Pequeno Porte que não quiser nomear o Encarregado é que disponibilize um canal de comunicação com o titular de dados, específico e direcionado para solucionar as demandas de Tratamento de Dados Pessoais.
Daí a importância de se manter um Programa de Governança de Tratamento de Dados Pessoais, sendo avaliados os riscos de se adotar as flexibilizações e dispensas da LGPD. Isso porque, mesmo sem o DPO, as empresas estão obrigadas a garantir segurança aos dados pessoais, transparência e prestação de contas.
