Antes de mais nada: DPO significa “Data Privacy Officer” em inglês – um termo criado pela lei europeia sobre proteção de dados (a General Data Protection Regulation – GDPR). No Brasil, foi traduzido como “Encarregado” e, segundo a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD), significa “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

Em suma, o Encarregado (ou DPO) é a pessoa responsável, dentro de uma entidade, por gerenciar o tratamento de dados pessoais ali realizados. Dessa forma, o Encarregado atua como intermediador entre todos os agentes envolvidos (controlador, operador, titular e ANPD) no tratamento de dados pessoais da entidade em questão. 

Segundo a LGPD, como regra geral, todas as empresas ativas deverão nomear um Encarregado. No entanto, a própria lei também previu que a ANPD poderia estabelecer hipóteses de dispensa de Encarregado.

Diante dessa possibilidade, muitos se perguntam: “Minha empresa precisa de um DPO”?

Neste sentido, cabe destacar que desde 2020 (quando houve a efetiva estruturação da ANPD), essa autoridade emitiu diversas normas com o objetivo de aprimorar a legislação sobre proteção de dados pessoais no país. Entre elas, a      Resolução CD/ANPD nº 2 (“Resolução”) trata do cumprimento da LGPD pelos chamados “Agentes de Tratamento de Pequeno Porte”. 

Para facilitar as operações desses agentes, a Resolução reduziu as obrigações desses “Agentes de Tratamento de Pequeno Porte” no que tange à LGPD. Assim, dentre as disposições da Resolução, foi criada uma exceção quanto à obrigatoriedade de nomear um Encarregado. 

Desse modo, os Agentes de Tratamento de Pequeno Porte poderiam indicar somente um canal de comunicação para o titular dos dados. Aqui, cabe esclarecer que esses agentes incluem microempresas, empresas de pequeno porte e startups. 

Não obstante, essa exceção normativa não se aplica aos Agentes de Tratamento de Pequeno Porte que realizam tratamento de alto risco para os titulares. Neste sentido, a Resolução definiu como tratamento de alto risco aquele tipo de tratamento que se enquadre cumulativamente a pelo menos um dos critérios gerais e um dos critérios específicos ali previstos (art. 4º). 

São critérios gerais: (i) o tratamento de dados pessoais em larga escala, que é analisado levando em consideração o número de titulares, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; e (ii) o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, caracterizando-se pelos tratamentos que possam impedir o exercício de direitos ou a utilização de um serviço pelos titulares.

Por sua vez, são critérios específicos: (i) o uso de tecnologias emergentes ou inovadoras, (ii) vigilância ou controle de zonas acessíveis ao público, (iii) decisões tomadas com base unicamente em tratamentos automatizados, para traçar um perfil do titular; e (iv) o uso de dados pessoais sensíveis ou dados pessoais de crianças, adolescentes e idosos. 

Consequentemente, algumas empresas, ainda que pequenas, não se enquadram na dispensa prevista na regulamentação em vigor. Assim, startups com tecnologias disruptivas e que tratam dados pessoais sensíveis, como os de saúde, por exemplo, precisarão nomear um DPO, independentemente de seu porte.

Ademais, ainda que a nomeação do Encarregado não seja obrigatória, ela é altamente recomendável, sendo uma boa prática para qualquer empresa.  

Como forma de corroborar essas boas práticas, a LGPD estabelece que a adoção de política de boas práticas por empresa eventualmente infratora, será levada em consideração na definição da sanção. Portanto, em caso de violação (dolosa ou não) da LGPD e condenação pela ANPD, a nomeação de um DPO atenuará as penalidades eventualmente impostas.  

Dito isso, importante ressaltar que o Encarregado não precisa ser um empregado ou sócio da empresa. Muitas vezes, é recomendável que não o seja, de forma a evitar conflitos de interesse. Além disso, essa pessoa (ou escritório terceirizado) deverá ter expertise no assunto.

Pelo exposto, a menos que sua empresa seja de pequeno porte e não trate dados pessoais dentro da sua principal atividade, caso ela esteja adequada à LGPD, ela provavelmente já nomeou um Encarregado (interno ou terceirizado). 

Inclusive, verificar o status de adequação da sua empresa à LGDP pode ser uma atribuição desse Encarregado. Afinal, independentemente do porte da sua empresa, ela deve estar adequada à LGPD.

O Campo Thomaz Advogados é um escritório especializado no setor de tecnologia, tendo grande expertise em privacidade e proteção de dados. Entre em contato com nossos sócios para dirimir eventuais dúvidas:

Fonte: Assessoria