Por Caterina Carvalho
A Lei Geral de Proteção de Dados, sancionada em agosto do ano passado, juntamente com a Medida Provisória 869/2018, que regulamentou a criação da Autoridade Nacional de Proteção de Dados, a ANPD, determinaram a indicação, pelas empresas, dos chamados encarregados: pessoas de cargo estratégico que serão ponte entre os titulares dos dados pessoais, as empresas controladoras e a ANPD.
Como ponte, os encarregados farão a comunicação entre os agentes da cadeia de tratamento de dados, podendo aceitar reclamações e comunicações dos titulares e da Autoridade Nacional, prestar esclarecimentos, adotar providências e orientar os funcionários das empresas e os contratados a respeito das práticas a serem tomadas em relação à proteção de dados, com expertise na legislação e nas práticas de proteção de dados.
A figura do encarregado poderá ter regime celetista, ser terceirizada como uma prestadora de serviços ou ser “eleita”, caso já seja um funcionário da empresa, por exemplo.
A contratação, contudo, afetará tanto o dia-a-dia da organização em relação ao tratamento de dados, quanto à atribuição de responsabilidade civil do vazamento de dados, por exemplo.
Isso porque, muito embora não tenhamos estabelecidos expressa e taxativamente quais serão de fato todas as atribuições, como o meio de comunicação se dará e quais serão as consequências para o encarregado em caso de violação da LGPD, a responsabilidade do encarregado pode ser uma ou outra de acordo com as funções exercidas por ele como funcionário, como empresa terceirizada ou como uma pessoa física prestadora de serviços.
Pela legislação brasileira, também existem variações da responsabilidade que se referem à existência de dolo na violação dos dados pessoais (caso essa violação tenha partido do encarregado) e se ele efetivamente participou do tratamento dos dados.
Por isso, as contratações e as funções do encarregado precisam ser muito bem avaliadas junto, mas não somente, aos departamentos jurídico e de tecnologia da empresa.
O encarregado da LGPD x Data Protection Officer da GDPR
O encarregado no Brasil será uma figura semelhante ao Data Proctetion Officer, criado pelo Regulamento Geral de Dados Pessoais da União Europeia, GDPR.
Com o GPDR em vigor há quase um ano, o que tem se visto na UE é que o “DPO” não é responsabilizado por eventuais violações aos direitos dos titulares de dados, sendo responsáveis ao pagamento de indenizações apenas o controlador e operador do tratamento de dados.
No entanto, as recentes doutrinas sobre o assunto deixam claro que a não responsabilização do Data Protection Officer perante o titular de dados, não significa necessariamente que ele esteja imune de sofrer com ações de regresso ou de ser responsabilizado perante a empresa controladora por eventual negligência ou erro no tratamento de dados.
No Brasil ainda é preciso aguardar até agosto de 2020, quando a LGPD entrará em vigor, para que a situação do encarregado perante as empresas e o mercado seja consolidada. Mas um fato é certo: sua existência já é uma realidade e seu cargo será imprescindível no desenvolvimento das atividades empresariais no que tange à coleta e ao compartilhamento de dados pessoais.
Comentarios