Antes de mais nada, cabe destacar que este profissional foi criado pelo legislador ostentando a criação da Lei Geral de Proteção de Dados/LGPD. Tal norma brasileira, surge com grande inspiração no regulamento da União Europeia sobre privacidade de informações na União Europeia e no Espaço Econômico Europeu, denominado General Data Protection Regulation / GDPR vigente em maio de 2018.
Ao pé da letra, ou da lei, o encarregado de dados é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) conforme disposto no artigo 5º, VIII da legislação brasileira.
Mas não é só, em seu CAPÍTULO IV que prevê o TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO em seu art. 41, § 2º da LGPD, as atividades do encarregado consistem em:
i - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
ii - receber comunicações da autoridade nacional e adotar providências;
iii - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
iv - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Se mostra de suma importância destacar que, a indicação do encarregado de dados não é uma faculdade e sim uma obrigatoriedade para os Municípios a fim de cumprir os termos do art. 23, II.
Sem sombra de dúvidas, tal profissional deve ser uma pessoa capacitada para cumprir com as suas funções conforme citado acima. A legislação não faz menção sobre possibilidade ou impossibilidade de contratação e nomeação do encarregado de dados externo.
Neste sentido, o advogado sócio da banca Pironti Advogados, graduado em Direito pela Universidade Complutense de Madrid, doutor e mestre em Direito Econômico pela PUR na obra Lei Geral de Proteção de Dados no Setor Público que teve por sua a coordenação, na página 382 entende:
“Mas talvez uma das perguntas mais recorrentes seja se a figura do encarregado deve ser exercida pelo corpo técnico interno da empresa ou se esta atividade pode ser “terceirizada” e em que termos.
A resposta é simples, a empresa pode designar como DPO um colaborador interno ou contratar um DPO externo para o exercício desta função, podendo, ainda – nesta hipótese de “terceirização” da atividade – optar entre a contratação de uma pessoa física ou jurídica. Ao eleger a nomeação de colaborador interno, é essencial que não haja conflito de interesse entre os papéis já desempenhados e as novas funções diretamente relacionadas ao papel DPO, ou seja, o DPO não deve governar o controle de dados e ao mesmo tempo definir por quais meios os dados serão processados.
Como regra geral, posições conflitantes com a figura do encarregado incluem cargos de gerência sênior, como diretor executivo, diretor operacional, diretor financeiro, diretor de marketing, diretor de recursos humanos ou diretor de TI”.
Substitua-se com equidade a palavra empresa, por órgão público.
Todavia, contamos com correntes indicando que tal profissional deve ser um servidor contratado através de concurso público devido a vitaliciedade do cargo. Até o momento, não tivemos nenhum pronunciamento da Autoridade Nacional de Proteção de Dados neste sentido.
Mas o fato é que, a sua Prefeitura tem a obrigação de nomear tal profissional. Nos conte, o seu Município já indicou seu encarregado de dados? Ele é um servidor público ou um terceiro contratado?
Foto: Ilustração (Imagem de Urupong de Getty Images)
Bruna Anadão* Advogada Especialista em Direito Digital, Privacidade e Proteção de Dados, DPO da Prefeitura de Águas da Prata (SP)