Quem não deve ser o encarregado de dados – DPO da sua empresa?
A Lei Geral de Proteção de Dados – LGPD determina que toda empresa que utiliza dados pessoais tenha um encarregado de dados, também conhecido como DPO. O encarregado de dados é a pessoa responsável dentro da empresa para lidar com as questões relacionadas ao uso dos dados pessoais, principalmente manter a empresa em conformidade com a Lei e seguir como intermediador entre a empresa e o titular de dados e a Autoridade Nacional de Proteção de Dados – ANPD.
Apesar de ser obrigatória, a Lei não deixa claro quem pode ocupar essa função dentro da empresa, o que vem deixando muitos empresários confusos no momento dessa indicação. Realmente não existe uma determinação clara e explicita de quem deve exercer esse papel, mas da análise conjunta da legislação e da Resolução nº 18/2024 da ANPD podemos identificar quem deve ou não deve ocupar essa posição, seguindo alguns critérios.
Qualificação profissional
Não é exigido certificação, formação ou qualificação profissional específica para se ocupar a função de encarregado.
Sendo assim, a empresa tem liberdade de estabelecer quais as qualificações que ela vai exigir do seu encarregado, desde que ele tenha conhecimento sobre a legislação de proteção de dados compatível com o volume e o risco das operações de tratamento de dados que são realizadas.
Habilidades
Apesar de não haver exigência de qualificação, é importante que o encarregado tenha algumas habilidades como, por exemplo, uma boa comunicação para atender e responder as demandas tanto dos titulares, quanto da ANPD; ter um bom relacionamento, já que o encarregado de dados vai se relacionar diretamente com diversos setores da empresa, podendo inclusive, interferir em alguns processos, caso identifique alguma incompatibilidade; interdisciplinariedade, já que os processos nas empresas se misturam e o encarregado tem que entender muito bem sobre todos eles e como eles impactam no uso dos dados pessoais; proatividade na solução de problemas, principalmente nas empresas que tem um risco aumentado para ocorrência de incidentes de segurança, tendo em vista que ele será o responsável por coordenar toda operação de contenção.
Pessoa física ou pessoa jurídica
O encarregado de dados pode ser tanto uma pessoa física que já faça parte da empresa ou contratado especificamente para essa função, como também pode ser uma pessoa jurídica que preste esse tipo de serviço. A empresa tem, então, liberdade para adotar a contratação que seja mais interessante para a sua realidade.
Conflito de interesse
O encarregado pode acumular funções dentro da empresa ou exercer a função de encarregado para mais de uma empresa, entretanto, não pode haver situações que configurem conflito de interesses.
O conflito de interesses pode ocorrer em diversas situações como, por exemplo, quando as atividades dentro de uma empresa conflitam nas atividades de outra empresa; quando essas empresas têm relações diretas uma com a outra, especialmente uma relação controlador x operador; quando as atividades acumuladas e a do encarregado envolvam tomada de decisões estratégicas referentes ao uso dos dados pessoais, etc.
Conclusão.
Considerando os critérios acima a empresa terá mais clareza e objetividade no momento da escolha e indicação do encarregado de dados. Poderá, assim, encontrar o profissional ou a empresa mais adequada a suprir suas necessidades no que diz respeito ao tratamento de dados pessoais.
O cuidado na escolha do encarregado de dados é essencial para se evitar a indicação de um profissional que não detenha as habilidade e qualificações necessárias e a ocorrência de eventual conflito de interesse.