A Lei Geral de Proteção de Dados (LGPD) trouxe diversas mudanças e novas exigências para empresas e órgãos públicos no Brasil, especialmente no que se refere ao tratamento de dados pessoais. Uma das figuras centrais introduzidas pela LGPD é o Encarregado pela Proteção de Dados Pessoais, também conhecido como Data Protection Officer (DPO).
Mas quem é esse profissional, quais são suas atribuições e como saber se sua agência de marketing precisa nomear um?
Vamos explorar essas questões em detalhes neste artigo!
Quem é o Encarregado pela Proteção de Dados, segundo a LGPD?
O Encarregado pela Proteção de Dados é a pessoa designada pelo controlador (aquele que toma as decisões sobre o tratamento de dados pessoais) e pelo operador (aquele que realiza o tratamento de dados em nome do controlador) para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Também é sua responsabilidade orientar os funcionários da empresa para a qual presta serviços em relação às melhores práticas de proteção de dados.
Esse papel é fundamental para assegurar a conformidade com a LGPD e facilitar a comunicação em questões relacionadas à privacidade e proteção de dados. Tanto que a ANPD aprovou, em julho de 2024, uma norma detalhando o papel e as responsibilidades do Encarregado (link: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-18-de-16-de-julho-de-2024-572632074), incluindo instruções sobre como fazer a sua nomeação e divulgar suas informações de contato, atendendo aos requisitos impostos pela LGPD.
Quais são as atividades e atribuições do Encarregado?
De acordo com o Regulamento sobre a Atuação do Encarregado pelo Tratamento de Dados Pessoais, as principais atividades do Encarregado incluem:
- Aceitar reclamações e comunicações dos titulares dos dados, prestando esclarecimentos e adotando providências.
- Receber comunicações da ANPD e tomar as medidas necessárias, incluindo solicitações em processos administrativos.
- Orientar funcionários e contratados da empresa a respeito das práticas de proteção de dados pessoais.
Além disso, espera-se que o Encarregado preste assistência na elaboração, definição e implementação de uma série de instrumentos relacionados ao projeto de adequação à LGPD e ao programa de governança em privacidade, como:
- Registro das operações de tratamento de dados pessoais.
- Relatório de impacto à proteção de dados pessoais.
- Registro e comunicação de incidentes de segurança.
- Mecanismos internos de supervisão e mitigação de riscos relacionados ao tratamento de dados pessoais.
- Medidas de segurança, técnicas e administrativas, para a proteção dos dados pessoais.
- Processos e políticas internas que assegurem o cumprimento da LGPD e dos regulamentos e orientações da Autoridade Nacional.
- Instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais.
- Transferências internacionais de dados.
- Regras de boas práticas e de governança em privacidade.
- Produtos e serviços que adotem padrões de design compatíveis com os princípios da LGPD, incluindo a privacidade por padrão (privacy by default) e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades.
- Outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
É importante destacar que o desempenho dessas atividades não torna o Encarregado responsável, perante à Autoridade Nacional, pela conformidade do tratamento de dados pessoais realizado pela empresa que o contratou.
Todas as empresas precisam ter um Encarregado?
Nem todas as empresas são obrigadas a nomear um Encarregado pela Proteção de Dados. A obrigatoriedade depende do porte da empresa e da natureza das operações de tratamento de dados.
Por exemplo, agentes de tratamento de pequeno porte, como microempresas, empresas de pequeno porte e startups, podem ser dispensados da exigência de nomear um Encarregado, desde que disponibilizem um canal de comunicação com os titulares de dados e não realizem tratamento de dados considerado de alto risco, conforme previsto no Regulamento de Aplicação da LGPD para Agentes de Tratamento de Pequeno Porte (link: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no-2-de-27-de-janeiro-de-2022).
É importante ressaltar, porém, que a avaliação da necessidade ou não de indicar um Encarregado deve ser minuciosa e devidamente documentada, pois cabe ao agente de tratamento comprovar que se enquadra nas disposições de dispensa de nomeação do Encarregado, quando solicitado pela Autoridade Nacional.A Live Privacy pode auxiliá-los neste diagnóstico. Entre em contato com nosso time para saber mais sobre esse serviço. (11 99163-0799)
Preciso indicar um Encarregado, e agora?
A necessidade de indicar um Encarregado pela Proteção de Dados pode parecer um desafio complexo, especialmente para agências de marketing que lidam com grandes volumes de dados pessoais em suas campanhas. A conformidade com a LGPD é essencial não apenas para evitar sanções, mas também para fortalecer a confiança dos clientes e parceiros.
Se sua agência chegou a essa etapa e precisa nomear um Encarregado, é crucial entender os requisitos, as responsabilidades envolvidas e os passos necessários para garantir uma nomeação eficaz e alinhada com as melhores práticas de proteção de dados.
Quem pode ser um Encarregado
O Encarregado pode ser uma pessoa natural, integrante do quadro organizacional da sua agência ou externa a ele, ou uma pessoa jurídica. Não há requisitos formais específicos, como certificações ou formações profissionais obrigatórias, para que alguém possa ser nomeado como Encarregado. No entanto, é essencial que o profissional tenha conhecimento sobre a legislação de proteção de dados e as práticas de tratamento de dados da sua empresa. A escolha deve considerar, especialmente, a capacidade do Encarregado de comunicar-se de forma clara com os titulares dos dados e com a ANPD.
Nomeação do Encarregado
O Regulamento sobre a Atuação do Encarregado pelo Tratamento de Dados Pessoais determina que a indicação do Encarregado deve ser realizada por ato formal, ou seja, um documento escrito, datado e assinado, que demonstre, de maneira clara e inequívoca, a intenção da empresa em designar aquela pessoa física ou jurídica como seu Encarregado. Esse documento deverá ser apresentado à Autoridade Nacional sempre que solicitado.
Divulgação das informações de contato do Encarregado
As informações sobre a identidade (nome completo do responsável) e os meios de contato do Encarregado devem ser divulgadas publicamente, de forma clara e acessível, no site da empresa ou por outros meios de comunicação.
Encarregado substituto
Em caso de ausência, impedimento ou vacância do Encarregado, deve haver um substituto formalmente designado para garantir a continuidade das atividades e a proteção dos direitos dos titulares.
Acúmulo de função e conflitos de interesse no cargo de Encarregado
O Encarregado deve atuar com ética e autonomia técnica, evitando situações de conflito de interesse e o acúmulo de funções que possam comprometer sua objetividade e julgamento.
Quando parte do quadro organizacional da agência, ainda que não precise se dedicar exclusivamente à função de Encarregado, o indicado não deve exercer cargos ou atividades concomitantes que possam resultar em um conflito de interesses. Por exemplo, outras funções que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais.
No caso da agência optar por nomear um Encarregado externo, ele poderá atuar para mais de uma empresa, desde que consiga cumprir com todas as suas atribuições.
Contratando um Encarregado externo: DPO as a Service
A contratação de uma empresa externa para exercer o papel de Encarregado pela Proteção de Dados pode ser uma solução prática e eficiente para agências de marketing que desejam garantir conformidade com a LGPD sem sobrecarregar a equipe interna. Empresas especializadas podem fornecer esse serviço, conhecido como DPO as a Service, garantindo que as atividades de proteção de dados sejam gerenciadas por profissionais qualificados.
Ao considerar a contratação de um DPO externo, é importante avaliar a experiência, a reputação e a capacidade da empresa ou profissional em lidar com as especificidades do tratamento de dados pessoais na área de marketing. A escolha de um parceiro confiável pode fazer toda a diferença na eficácia da proteção de dados e na conformidade com a LGPD.
Se sua agência está buscando orientação sobre a necessidade de nomear um Encarregado ou precisa de suporte na implementação de um programa de conformidade com a LGPD, a Live Privacy pode auxiliá-lo. Com uma equipe experiente em proteção de dados, governança em privacidade e gerenciamento de riscos da informação, ajudamos a garantir que sua agência esteja em conformidade com as exigências legais, protegendo os dados pessoais de seus clientes e parceiros. Fale com nosso time para saber mais.