A Lei Geral de Proteção de Dados (LGPD) obriga que toda instituição possua um Encarregado de Dados, também conhecido internacionalmente como DPO. Frente a isso, a LGPD atribui ao Encarregado de Dados diversas responsabilidades fundamentais para assegurar a conformidade com as normas de proteção de dados.
No Art. 41°, da Lei 13.709/2018, está disposto quais são as atividades inerentes a função de DPO, e são elas:
“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”
Vale mencionar que o Encarregado de Dados é responsável pela recomendação de ações para manter a privacidade dos dados dos titulares junto ao Controlador, realizado ações e melhorias de segurança frente ao tratamento de dados pessoais.
Além disso, é importante estar atento em relação as atividades de tratamento de dados pessoais, sempre estudando melhores práticas e outras leis estrangeiras, que visem esse tratamento, quando necessário.
Observamos que o DPO possui diversas atividades e responsabilidades importantes, porém, é importante nos lembrarmos que a decisão de seguir as recomendações do Encarregado é do Controlador, representado pelos tomadores de decisão da instituição. São eles que determinam o grau de risco que estão dispostos a assumir.
Quais são os riscos do Encarregado de Dados?
Conforme mencionado, o Controlador é o responsável pela tomada de decisões no que diz respeito ao tratamento de dados pessoais. No entanto, o DPO ainda tem suas obrigações e estas envolvem riscos.
O Encarregado possui responsabilidades jurídicas, tanto na esfera cível quanto na criminal. Em caso de incidente de segurança, é o Controlador dos Dados quem responderá e se responsabilizará perante o titular. Todavia, o Controlador tem o direito de regresso junto ao Encarregado de Dados.
Em casos em que o DPO tenha agido com culpa grave ou dolo, causando prejuízo aos dados dos titulares, como por exemplo, negligenciar ações de segurança ou participado ou realizado algum tipo de incidente de segurança de forma intencional, isso pode resultar em prejuízos. A omissão diante dessas condutas também pode gerar resultados negativos. Todas essas ações ou omissões, se realizadas intencionalmente, podem resultar em danos jurídicos para o Encarregado de Dados.
Além das atribuições e responsabilidades do DPO citadas acima, é possível que o Controlador tenha direcionado mais atividades a este responsável. Atividades ao qual, se prevista em contrato, em caso de descumprimento intencional ou negligência, é possível a ação jurídica contra o Encarregado, ou seja, este responde como pessoa física, de maneira cível ou criminal, qualquer ilegalidade ou não cumprimento das suas atividades.
Como se resguardar desses riscos?
Diante dos riscos enfrentados pelo DPO em sua posição, é fundamental que ele se resguarde. Além de cumprir suas atividades legais ou contratuais, o Encarregado pode se proteger ao documentar e gerar evidências de suas atividades.
Seguem alguns exemplos:
- Geração dos relatórios dos processos de tratamento dos dados pessoais, com a indicação de gestão de risco.
- Realização de treinamento periódicos junto aos colaboradores, reservando as evidências de que foi realizado, com listas ou relatórios.
- Manter o canal de comunicação com o titular sempre disponível, além de responder todas solicitações e orientações em tempo hábil, vale neste momento também reservar as evidências de atendimento. O mesmo para o canal com a Autoridade Nacional de Proteção de Dados.
- Gerar políticas e diretrizes internas em relação a privacidade dos dados pessoais, e solicitar a aprovação e assinatura desses documentos.
Essas são apenas algumas das atividades que o Encarregado pode realizar para se resguardar, assim como proteger o Controlador e a instituição. Com a Plataforma da Be, é possível executar todas essas atividades de forma fácil e automatizada.
Contamos com diversas funcionalidades que auxiliam na proteção da instituição e do Encarregado de Dados, especialmente em relação às atividades legais e, muitas vezes, contratuais da LGPD.