A figura do Encarregado da Proteção de Dados, também denominado como “Data Protection Officer" (DPO) pela GDPR, está prevista na Lei nº 13.709/2018, Lei Geral de Proteção de Dados (LGPD) em seu art 5º, VIII, cuja vigência teve grande parte iniciada em 18/09/2020, surgindo com ela uma nova modalidade de empregado, e ainda uma nova possibilidade de prestação de serviços.
A LGPD prevê que o Encarregado de Proteção de Dados ou DPO será uma “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
A Lei não limitou a atuação do Encarregado apenas por pessoa natual. Isto quer dizer que o Encarregado de Proteção de Dados pode ser tanto pessoa física quanto pessoa jurídica, resultando no surgimento no mercado de diversas empresas prestadoras de serviços terceirizados de DPO, que convencionou-se chamar de “DPO as a service”, ou seja, como prestador de serviço.
Além da possibilidade da prestação de serviços com pessoa jurídica, as empresas interessadas em manter em seu quadro de funcionários poderão contratar um profissional como empregado registrado em carteira, pois a função de Encarregado de Proteção de dados foi incluída, em Julho deste ano, com ocupação na Classificação Brasileira de Ocupações (CBO), com início em 2022.
O CBO é importantíssimo para reconhecer a existência da profissão no Brasil, além de ser obrigatório em registros administrativos para fins de estatísticas e políticas de trabalho.
Assim, com empregados, os Encarregados poderão disfrutar de benefícios em ter a profissão reconhecida, podendo, inclusive se utilizar do nome em inglês como “DPO – Data Protection Officer” que se popularizou no Brasil.
A função de Encarregado da proteção de dados, apesar de nova no cenário produtivo-trabalhista, ganha forças com o seu reconhecimento pela CBO, e, muito embora ainda não existam parâmetros na doutrina e na jurisprudência, com o enfrentamento concreto das questões relacionadas ao contrato de trabalho desse profissional, deve-se ter a máxima consideração com os aspectos acima mencionados, não sendo recomendado o acúmulo de funções, mesmo mediante acréscimo salarial.
A Lei menciona quais são as atividades a serem desempenhadas pelo Encarregado: aceitar reclamações e comunicações dos titulares dos dados; prestar esclarecimentos; adotar providências; receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD); orientar funcionários e contratados a respeito das práticas quanto à proteção de dados; executar demais atribuições determinadas pelo controlador.
Por enquanto, como a ANPD ainda está realizado consulta pública sobre o assunto, todas as empresas estão obrigadas a nomear um DPO, tanto as organizações públicas quanto as privadas, independentemente do porte da entidade ou volume de dados pessoais tratados.
Sobre o desempenho da atividade de Encarregado, há a necessidade de conhecimento técnico do negócio em que está inserido, da área de tecnologia e da legislação vigente. A integridade e o bom relacionamento também são características fundamentais, pela necessidade do DPO de transitar por todas as áreas da organização que tratem dados pessoais.
A função do Encarregado da proteção de dados é de extrema importância para o cumprimento da LGPD, portanto, o profissional deve ter conhecimento acerca da legislação da proteção de dados e da tecnologia da informação. A legislação ainda não obriga que o profissional possua uma certificações como Data Protection Officer, no entanto, já se vislumbra que no futuro a ANPD possa a vir a recomendar que este profissional detenha de um certificado para comprovar os seus conhecimentos para estar ocupando o cargo de DPO, e o conhecimento sobre a matéria é fundamental para evitar e minimizar os riscos que os incidentes de segurança possam causar.
Na prática, têm-se visto que a contratação de um serviço terceirizado de Encarregado da Proteção de Dados não tem atendido por contendo às especificações das empresas.
Nestes casos, a escolha de um Encarregado da Proteção de Dados, que seja pessoa física, preferentemente subordinada e que compreenda bem a dinâmica organizacional da empresa em que irá atuar com privacidade e proteção de dados pessoais, tem se mostrado boa alternativa.
Seja pessoa jurídica ou pessoa física (ou seja empregado), a contratação do DPO deve ser formalizada através de um contrato, onde deverão constar as obrigações e responsabilidades do Encarregado, e as atividades a serem desempenhadas deverão estar claramente expostas no contrato e nos demais documentos empresariais (job descriptions), bem como cláusulas de confidencialidade e sigilo, já que ele terá acesso a uma infinidade de dados pessoais, sejam dos clientes das empresas, como também dos demais empregados da organização.