Após quase três anos da entrada em vigor da LGPD – Lei Geral de Proteção de Dados, ocorrida em setembro de 2020, houve a primeira aplicação oficial de uma multa envolvendo uma empresa de telefonia sediada em Vila Velha (ES). A empresa foi autuada com duas multas, no valor total de R$ 14.400, além de uma advertência por descumprimento da LGPD, que ainda está pendente de recurso.Dentre os motivos da autuação, e que também é objeto do tema aqui debatido, está a violação do disposto no artigo 7º da Lei Geral de Proteção de Dados, que dispõe sobre a necessidade de um responsável pelo tratamento dos dados coletados, também conhecido como “DPO” ou “Data Protection Officer”.

De maneira geral, este profissional é um especialista em proteção de dados, e ganhou maior notoriedade com a publicação da GDPR (Regulamento Geral de Dados da União Europeia). Sua função principal é assegurar e monitorar as empresas a fim de garantir que estas estejam alinhadas com as boas práticas do setor, intermediando os interesses da empresa e dos titulares de dados eventualmente coletados.

Em nossa legislação, o “DPO” recebeu o nome de encarregado de dados, e com isso ganhou a definição contida no Artigo 5º da Lei, que assim dispõe: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados) ”.

É altamente recomendável que este profissional esteja presente desde o início da divisão dos documentos, passando pelo seu mapeamento até sua gestão final. Não há na legislação nenhuma requisição de formação específica, mas recomenda-se que o profissional escolhido tenha conhecimento mínimo das regras legais e das práticas de proteção de dados de maneira geral, devendo sempre estar alinhado com as normas da empresa e trabalhando em conjunto com uma equipe técnica. Ou seja, todos àqueles que, dentro da empresa, operem com as áreas de tecnologia, financeiro, administrativo e até mesmo jurídica.

Dito isso, seu papel principal é o de organizar e mapear todos os dados coletados, filtrá-los e, assim, possibilitar a criação de um processo de otimização de sua coleta, descartando aqueles que não mais são necessários (de maneira a evitar futuros problemas) e avaliando periodicamente aqueles que serão mantidos, garantindo uma gestão documental sistematizada. Isso permite uma melhor previsibilidade quando ocorrerem situações inesperadas envolvendo algum vazamento, por exemplo.

Além disso, importante destacarmos que o encarregado ainda cuida das políticas de acesso dentro da empresa, de maneira a garantir que as informações sejam acessadas somente por aqueles que estiverem autorizados, proporcionando sua rastreabilidade e, acima de tudo, evitando qualquer quebra de segurança através de ataques de hackers.

E o que a Lei diz a respeito de sua obrigatoriedade? Todas devem ter um encarregado de dados? Aqui, é importante destacarmos que sua obrigatoriedade adveio com a publicação da Resolução CD/AND nº2/2022, que flexibilizou uma série de pontos da LGPD no que diz respeito às pequenas empresas e Startups.

A nova resolução determinou que as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado sem fins lucrativos, pessoas físicas e entes privados despersonalizados (como condomínios), tem a opção de contratar este profissional, ou seja, não é obrigatório. Entretanto, apesar das flexibilizações, caso as empresas acima destacadas realizarem tratamento de dados de alto risco, obtém receita bruta superior aos limites máximos de faturamento estipulados pelo Marco Legal das Startups e do Estatuto nacional da Microempresa e da Empresa de pequeno porte, torna-se obrigatório a indicação de um encarregado de dados.

O tratamento de dados pessoais será caracterizado como de alto risco quando for constatado o acúmulo de ao menos um critério geral e um específico, nos termos do artigo 4º da Resolução citada acima.

São considerados critérios gerais o i) tratamento de dados pessoais em larga escala ou ii) o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, ao passo que os critérios específicos são representados pelo(a)s i) uso de tecnologias emergentes ou inovadoras, ii) vigilância ou controle de zonas acessíveis ao público, iii) decisões tomadas unicamente com base no tratamento automatizado de dados pessoais, ou iv) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes e de idosos.

Em que pesem as flexibilidades advindas com a publicação desta resolução, a ANPD poderá, a qualquer tempo, solicitar provas de que a empresa realmente se enquadra nas determinações necessárias para usufruir desde benefício, concedendo o prazo de até 15 dias para a apresentação desta comprovação.

Portanto, é muito importante estar atento às normas legais vigentes e sua aplicação adequada ao caso, sempre amparado por profissionais da área que tenham competência no assunto.