Os agentes de tratamento e o papel do DPO

Conheça as responsabilidades dos principais atores no tratamento e proteção de dados pessoais

equipe reunida trabalhando a noite em um escritorio

A Lei Geral de Proteção de Dados (Lei 13.709/2018, a “LGPD”) trouxe três figuras muito importantes para a dinâmica envolvendo o tratamento e a proteção de dados, quais sejam: o controlador, o operador e o encarregado ou Data Protection Officer (DPO). Tais atores compõem a estrutura de governança das instituições que lidam com dados e os papéis de cada um estão previstos no art. 5º da LGPD.

O controlador e o operador de dados compõem os agentes de tratamento, conforme prescreve o art. 5º, inciso IX, da LGPD. De acordo com o art. 5º, inciso VI, da Lei, o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. A principal atribuição do controlador é o poder de decisão. É ele que define os elementos essenciais de tratamento, determinando, em suma, sobre a coleta de dados, finalidade de uso, tempo de armazenamento e eliminação. Em razão de tais prerrogativas, o controlador assume uma série de responsabilidades, como elaborar o relatório de impacto à proteção de dados pessoais, manter à disposição do titular informações sobre o tratamento de seus dados, comprovar que o consentimento do titular observou as exigências legais e reparar danos, caso o tratamento de dados não ocorra como previsto na lei. 

O operador é o responsável por realizar o tratamento de dados em nome do controlador. O art. 5º, inciso VII, da Lei, prevê que o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”. Ou seja, o operador deve agir dentro do limite das diretrizes determinadas pelo controlador. Portanto, a principal diferença entre tais agentes de tratamento é o poder de decisão¹. 

Quem é o Encarregado pelo Tratamento de Dados Pessoais ou DPO?

De acordo com o art. 5°, inciso VIII, da LGPD, o encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

O encarregado equipara-se à figura do Data Protection Officer (DPO) do Regulamento Geral de Proteção de Dados da União Europeia, o General Data Protection Regulation (GDPR), que serviu de base para a criação da LGPD. Ele é responsável por assegurar que as atividades de tratamento de dados de determinada instituição estejam em conformidade com as diretrizes legais e boas práticas na área. Ademais, ele deve intermediar os interesses dos agentes de tratamento, titular de dados e a ANPD. 

Com a Medida Provisória 869/2018, convertida na Lei nº 13.853/2019, deixou de ser prevista a necessidade do encarregado ser pessoa física. Atualmente, à luz da LGPD, o encarregado pode ser pessoa física ou jurídica, podendo ser um funcionário da própria instituição ou um terceiro que atuará a partir de um contrato de prestação de serviços

Quais as principais funções do Encarregado ou DPO?

Ressalta-se que o encarregado não é um agente de tratamento de acordo com a LGPD. Portanto, ele não possui como atribuição implementar medidas de segurança, mas sim orientar e conduzir os agentes para que adotem as melhores práticas². 

Apesar do § 4º, art. 41, da LGPD ter sido vetado³, o encarregado deve agir com autonomia e, na prática, atua como espécie de fiscal da legislação dentro da incorporação. O art. 42, da LGPD, determina as principais atividades do encarregado. Estas podem ser resumidas da seguinte forma:

  • Monitoramento do nível de conformidade legal;
  • Comunicação e prestação de esclarecimentos aos titulares de dados pessoais;
  • Comunicação e adoção de providências determinadas pela ANPD;
  • Orientação aos funcionários e colaboradores da instituição acerca das melhores práticas em relação à proteção de dados pessoais;
  • Avaliação de riscos em relação às atividades de tratamento de dados pessoais;
  • Recomendação interna acerca da elaboração de relatórios de impacto à proteção de dados pessoais.

O GDPR traz mais detalhes acerca da figura do DPO. No âmbito de tal Regulamento, é previsto que o DPO deve ser designado com base em suas qualidades profissionais e, particularmente, em seu conhecimento específico e prático sobre a legislação de proteção de dados. Ademais, estabelece a necessidade dos controladores e operadores assegurarem que o DPO esteja envolvido de forma apropriada em todas as questões atinentes à proteção de dados pessoais, devendo ser garantida a sua independência. O art. 39 do Regulamento prevê que o DPO deve exercer pelo menos as seguintes funções:

  • Informar e aconselhar o controlador, o operador e os colaboradores que lidem com tratamento de dados sobre as suas obrigações à luz do Regulamento e de outras disposições da União ou dos Estados-membros acerca da proteção de dados;
  • Monitorar a conformidade com: (i) o GDPR; (ii) outras disposições da União ou dos Estados-membros acerca da proteção de dados; e (iii) políticas do controlador e operador referentes à proteção de dados pessoais, incluindo a atribuição de responsabilidades, treinamento da equipe envolvida nas operações de processamento de dados e auditorias;
  • Apresentar recomendações quando acionado acerca da avaliação de impacto sobre a proteção de dados;
  • Cooperar com a autoridade;
  • Agir como ponto de contato da autoridade em questões referentes ao tratamento de dados. 

O encarregado ou DPO é uma posição necessária em um mundo movido a dados. Tal ator é essencial para a implementação de uma governança de proteção de dados ao trazer maior segurança e respaldo nas decisões das incorporações. Ele deve ser capaz de considerar os interesses dos agentes de tratamento e do titular de dados à luz das diretrizes impostas pela lei. 

Referências

¹ ANPD. Guia Orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf>. Acesso em 02 de junho de 2021.

² GLASMEYER, Rodrigo. Série LGPD na Prática: DPO – Quem é, o que faz e quais as responsabilidades do Encarregado de Proteção de Dados? Disponível em: <https://blconsultoriadigital.com.br/serie-lgpd-na-pratica-dpo/>. Acesso em 02 de junho de 2021.

³ O art. 41, § 4º, foi vetado sob a justificativa de que a exigência de conhecimento jurídico e regulatório seria um rigor excessivo e representaria interferência desnecessária do poder público na discricionaridade da iniciativa privada. Tal disposição previa: “§ 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, além do disposto neste artigo, a autoridade regulamentará: I - os casos em que o operador deverá indicar encarregado; II - a indicação de um único encarregado, desde que facilitado o seu acesso, por empresas ou entidades de um mesmo grupo econômico; III - a garantia da autonomia técnica e profissional no exercício do cargo”.

ana-couto
Ana Couto
Graduada em Direito pela Fundação Getúlio Vargas e pós-graduada em Direito Tributário. Head da área de Legal Operations do Sem Processo.
Artigos recentes