LGPD: sua empresa precisa ter um encarregado de proteção de dados (DPO)?
A Lei Geral de Proteção de Dados Pessoais dispõe que as empresas, para estarem adequadas à LGPD, precisam nomear um Encarregado pelo Tratamento de Dados Pessoais, conforme previsão do art. 41: “O controlador deverá indicar encarregado pelo tratamento de dados pessoais.”
O controlador é a empresa que trata (usa, arquiva, processa, armazena, etc) dados pessoais de pessoas físicas, começando pelos dados de seus funcionários. E afinal, quem é o Encarregado de Dados, também conhecido por DPO (Data Protection Officer)?
O encarregado pelo tratamento de dados pessoais nomeado por uma empresa poderá ser uma pessoa física ou jurídica, podendo ser um funcionário, uma pessoa física contratada para exercer a função, ou uma empresa prestadora de serviços.
Muito importante que os empresários observem que a “identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador”.
Deverão ser identificados o nome completo da pessoa física ou jurídica encarregada e o canal de atendimento (telefone, e-mail, plataforma, etc), a fim de que possam os titulares de dados, se desejarem, realizar contato para exercer algum direito ou para receber notificações relacionadas ao assunto da proteção de dados pessoais, por autoridades, inclusive.
As atividades do encarregado, conforme §1º do art. 41 da LGPD, consistem em:
“I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”
Segundo previsão do § 3º do art. 41 da LGPD, a ANPD - Autoridade Nacional de Proteção de Dados Pessoais (órgão fiscalizador), poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Foi justamente o que aconteceu recentemente, com a publicação da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que dispõe sobre a aplicação da Lei de Proteção de Dados para agentes de tratamento de dados pessoais (controlador ou operador), de pequeno porte.
A Resolução nº 02/2022, da ANPD, considera agentes de tratamento de pequeno porte as microempresas e empresas de pequeno porte (conforme critérios da Lei Complementar 123/2006), as startups (conforme estabelece a Lei Complementar nº 182/2021), as pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, as pessoas naturais empreendedoras, que usam dados pessoais para exercer negócios, e os entes privados despersonalizados (art. 2º, I).
A nova resolução, já vigente, dispensa que os agentes de tratamento de pequeno porte indicados no parágrafo precedente nomeiem um Encarregado de Proteção de Dados ou DPO, conforme segue:
“Do Encarregado pelo Tratamento de Dados Pessoais
Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.
§ 1º O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD.
§ 2º A indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD.”
Importante elucidar que os seguintes agentes de tratamento, ainda que preencham os requisitos do art. 2º, I, da Resolução nº 2/22 da ANPD, não poderão se beneficiar do tratamento jurídico diferenciado, previsto no art. 3º da resolução:
“I - realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º;
II - aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou
III - pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.”
A título de exemplo, alto risco envolve tratamento de dados sensíveis ou dados de grupos vulneráveis, incluindo crianças, adolescentes e idosos. Assim, ainda que o agente de tratamento seja de pequeno porte, deverá indicar um Encarregado de Proteção de Dados Pessoais ou DPO se utilizar dados destas espécies indicadas no inciso I, art. 3º, supra.
Em resumo, o agente de tratamento de pequeno porte tem a opção de nomear ou não um Encarregado de Dados, mas, se não realizar a indicação desse profissional, deverá disponibilizar um canal de atendimento para eventuais comunicações dos titulares de dados.
Então, por exemplo, uma microempresa, listada no art. 2º da resolução, não precisa indicar um Encarregado de Dados, mas, porém, deverá disponibilizar um meio de comunicação para que o titular dos dados possa exercer os direitos previstos no art. 18 da LGPD, tais como pedido de retificação dos dados pessoais, acesso aos dados, confirmação de que ocorre tratamento de dados pessoais, eliminação dos dados, etc.
Por fim, está previsto na Resolução nº 2/2022-ANPD, que a “indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança.”
Significa, portanto, que, mesmo sendo opcional a indicação de Encarregado de Proteção de Dados aos agentes de tratamento de pequeno porte, caso optem por nomear um profissional ou uma empresa para exercer tal função, a prática contará pontos e favorecerá para amenizar eventual sanção administrativa que venha a ser aplicada pela ANPD por descumprimento da LGPD.
Izabela Lehn - Advogada
Integrante do Comitê Jurídico da ACI-NH/CB/EV
Izabela Lehn Advocacia
