Com a publicação da Lei Geral de Proteção de Dados (LGPD), em 2018, empresas que realizam o tratamento de dados terão que se adaptar rapidamente às suas exigências, como à necessidade de nomear um encarregado de dados.
No entanto, para estar em concordância com a lei, é preciso que essas organizações entendam qual é o papel da figura do encarregado de dados, a fim de atribuir a esse profissional as responsabilidades condizentes.
O que é encarregado de dados?
De acordo com o texto da lei nº 13.709, o encarregado de dados é a pessoa indicada pelo controlador e operador, com a função de atuar como canal de comunicação entre o controlador, titulares, e a Autoridade Nacional de Proteção de Dados, ou ANPD.
A lei brasileira de proteção de dados teve como inspiração direta o GDPR, sigla em inglês para Regulamento Geral Sobre Proteção de Dados. Trata-se da lei europeia que regulamenta o tratamento de dados no bloco econômico europeu.
Desse modo, ambas procuram estabelecer diretrizes para guiar a coleta, armazenamento, classificação, uso ou qualquer tipo de tratamento de dados pelas organizações, bem como instituir sanções para o seu descumprimento.
Assim, seguindo o mesmo caminho da lei europeia, que determina a instituição da figura do DPO, ou Data Protection Officer, para atuar nas empresas, a LGPD traz o encarregado de dados pessoais com funções muito semelhantes.
Mas quem são as outras figuras apresentadas no texto da lei citadas anteriormente? Vamos entender como a lei as descreve em seu artigo 5º.
- Titular dos dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem a decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da lei em todo o território nacional.
Qual é a função do encarregado?
Mas, afinal, qual é o papel do encarregado de dados pessoais dentro de uma organização?
Como vimos, a principal tarefa do encarregado é atuar como ponte entre controlador e titulares, bem como prestar contas a Autoridade Nacional de Proteção de Dados. Mas não é só isso.
De acordo com o artigo 41 do texto da lei, o encarregado ainda possui as seguintes atividades:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Em suma, o encarregado de dados na LGPD deve ser responsável pelo desenvolvimento de procedimentos internos que possibilitem a coleta, armazenamento e qualquer tipo de tratamento de dados de forma correta.
O que diz o GDPR?
Já que a lei brasileira não descreve essas atividades com tanta profundidade, para entender melhor o papel do encarregado dentro de uma organização podemos realizar ainda um breve comparativo com o GDPR, uma vez que ambas apresentam muitas semelhanças.
Na lei europeia, as funções do DPO são descritas no art. 39 como:
- informar e aconselhar o responsável pelo tratamento ou subcontratante, assim como os trabalhadores que tratam os dados, a respeito das suas obrigações nos termos do regulamento;
- controlar a conformidade com o regulamento e com as políticas do responsável pelo tratamento (ou do subcontratante) relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
- prestar aconselhamento, quando lhe for solicitado, no que diz respeito à avaliação de impacto sobre a proteção de dados, bem como controlar sua realização;
- cooperar com a autoridade de controle;
- servir como ponto de contato para a autoridade que controla as questões relacionadas ao tratamento;
Assim, de acordo com a descrição do regulamento europeu, é possível prever o que se espera desse profissional também no Brasil.
No entanto, é importante ressaltar que a LGPD prevê ainda que, conforme consta em seu artigo 41, a ANPD:
” […] poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza o porte da entidade ou o volume de operações de tratamento de dados”.
Então o encarregado é responsável pelo tratamento de dados?
Não. Apesar do nome, esse profissional não é o encarregado pelo tratamento de dados pessoais, esse papel pertence aos agentes de tratamento (controlador e operador).
Em suma, a figura do encarregado, na verdade, tem o papel de orientar os agentes de tratamento sobre as melhores políticas de privacidade, por exemplo, e adotar as medidas necessárias para que a empresa fique em compliance com a lei.
Quem pode ser encarregado de dados?
Considerando as funções atribuídas, há de se questionar que tipo de profissional seria o mais indicado para desempenhar tal cargo, uma vez que se trata de uma carreira totalmente nova.
Assim, surgem as dúvidas: quem pode ser o encarregado de proteção e dados? Que tipo de profissional contratar para o exercício dessa função?
A primeira conclusão que podemos chegar é que, por se tratar de uma carreira nova, nenhum profissional que não se especializar nesse ramo estará devidamente pronto para desenvolver essas atividades com precisão, visto que suas funções demandam experiência e diversos conhecimentos.
Ou seja, não basta apenas entender sobre a LGPD, é preciso ter algum conhecimento básico em TI, segurança da informação e outras leis. Assim, algumas das expertises desejadas nesse profissional podem incluir:
- conhecimentos de segurança da informação, gestão de processos, análise de riscos e gestão de crises.
- conhecimento específico da natureza do setor ao qual pertence sua organização;
- vasto conhecimento das legislações de proteção de dados;
- boas habilidades de comunicação.
Portanto, os principais candidatos à vaga de encarregado LGPD são os profissionais de TI, segurança da informação e também advogados.
Vale dizer, ainda, que o perfil desejado para o encarregado é o de um profissional híbrido, pois esse deve estar disposto a expandir seu conhecimento para outra áreas.
Por exemplo, o advogado deverá entender mais sobre a área de TI, enquanto que o profissional de TI deverá ter conhecimentos legais.
Por isso, não existe uma formação certa para esse profissional, mas um conjunto de habilidades e conhecimentos adquiridos.
Quais empresas precisam desse profissional?
Agora que já entendemos quem é esse profissional e qual o seu papel dentro de uma empresa, outro questionamento que pode vir à tona é: que tipo de empresa precisa ter um encarregado de dados?
Na verdade, de acordo com a LGPD, esse profissional se faz necessário a toda empresa que realiza o tratamento de dados, independente da quantidade de dados tratados ou do porte da organização, o que inclui pequenas e médias empresas.
Como vimos anteriormente, apesar da possibilidade da dispensa desse profissional pela ANPD, a depender de cada caso, ainda não existem diretrizes bem definidas quando a isso, o que torna as atividades do encarregado necessárias à todas essas empresas.
Vale mencionar que a LGPD prevê sanções e multas em caso de descumprimento dessa e qualquer outra determinação.
Essas penalidades vão desde advertências, multas de até 2% do faturamento da empresa, ou ainda bloqueio parcial ou total das atividades de tratamento de dados.
Dessa forma, se estabelece a necessidade de adaptar-se o quanto antes aos dispositivos da legislação, mitigando os riscos de prejuízos de todos os tipos.
Como ser um encarregado de dados?
Para finalizar, trataremos de uma dúvida muito recorrente entre os profissionais interessados nessa nova e promissora carreira: como se tornar um encarregado de dados pessoais dentro de uma empresa?
Como já dissemos, algum conhecimento básico legislativo e tecnológico é muito bem-vindo, assim como um perfil híbrido. No entanto, é possível que o profissional realize alguns cursos para estar apto à execução dessa função.
Isso porque, para se tornar um encarregado de dados é preciso ter uma certificação. Essa certificação é oferecida pela Exin, uma empresa de certificações internacionalmente reconhecida no mercado de TI.
Para ser reconhecido como encarregado, o profissional deve certificar-se, essencialmente, em três níveis de conhecimento.
- Information Security Foundation (ISFS): baseada na ISO/IEC 27001, uma norma internacional para gerenciamento de segurança da informação;
- Privacy & Data Protection Foundation (PDPF): abrange os principais assuntos relacionados ao GDPR e é usado como um guia para diversos países fora da União Europeia, ainda em fase de elaboração das suas próprias leis de proteção;
- Privacy & Data Protection Practitioner (PDPP): tem como objetivo o desenvolvimento e a implementação de políticas e procedimentos para o cumprimento da legislação, aplicação das diretrizes, melhores práticas para privacidade e proteção de dados e estabelecimento de um sistema de gestão de proteção de dados e privacidade.
Para os que precisam começar de um nível mais básico, há ainda o EXIN PDPE – Privacy & Data Protection Essentials, que valida os conhecimentos do profissional sobre os principais pontos da LGPD.
Para se preparar para as certificações e tornar-se um encarregado de dados, o Certifiquei te ajuda com cursos preparatórios simples e completos. Comece hoje mesmo e dê o próximo passo para uma carreira de sucesso!