Desde o último dia 18/09/2020, com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), um questionamento tem sido frequente por parte dos gestores das empresas aos seus setores jurídicos e consultorias: O que eu preciso fazer de imediato para me adequar?
A LGPD que regula o tratamento e a proteção de dados pessoais das pessoas naturais no território brasileiro, incluindo os acessados e compartilhados na internet, é aplicável a players de todos os portes.
Para se adequar ao dispositivo legal, tarefas como elaboração de um data mapping, a criação de uma política de dados e a definição de quem será o encarregado pelo tratamento de dados pessoais, ou também chamado de Data Protection Officer (DPO), são medidas, mínimas, que uma empresa deve fazer de imediato. Neste sentido, o DPO, que pode ser do próprio quadro funcional ou terceirizado, é elevado pela LGPD à posição de um verdadeiro “canal de comunicação deste tema dos dados dentro da empresa”.
De fato, a leitura do artigo 41, § 2º, da LGPD, nos leva a esta conclusão, dado que o mencionado profissional é o responsável por:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional (ANPD) e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e,
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Para o apropriado exercício da função de DPO, é essencial que o profissional escolhido conheça a legislação, tenha experiência em governança (sabendo as informações que a companhia detém), bem como, entenda de segurança da informação. Ou seja, é preciso uma atuação multidisciplinar.
A princípio, toda empresa ou negócio, independente do seu tamanho, deverá indicar o seu DPO. No entanto, o § 3º, do artigo 41, da LGPD, faculta à Autoridade Nacional de Proteção de Dados (ANPD) especificar situações em que a presença deste encarregado não seja obrigatória. Se cogita, portanto, que a ANPD poderá desconsiderar a necessidade de um DPO para empresas de pequeno porte e/ou com pequeno volume de tratamento de dados pessoais.
Por hora, acreditamos que a melhor decisão empresarial não é o relaxamento das obrigações pertinentes, mas, sim, o estabelecimento de um rigoroso cronograma organizacional de adequação, o que inclui a prospecção de um profissional, seja no âmbito interno ao negócio ou externo a este, para a sua plena atuação como Encarregado de Proteção de Dados (DPO – Data Protection Officer), conforme estabelece a lei em comento.
Por Ana Carolina Borba Lessa Barbosa