DPO/Encarregado – terceirizar vale a pena?
03/05/2022
Adriana Garibe
O Ministério do Trabalho e Previdência (MTP) reconheceu, na Classificação Brasileira de Ocupações (CBO), a profissão de Encarregado pelo Tratamento de Dados Pessoais ou DPO (Data Protection Officer). Porém, a inclusão na lista CBO ainda dependente de regulamentação que deve correr por meio de lei a ser sancionada pelo Presidente da República. No entanto, a presença do Encarregado entre as ocupações brasileiras reflete as mudanças que ocorrem na sociedade, especialmente no ambiente corporativo, principalmente aquelas relativas à tecnologia, privacidade e proteção de dados.
A figura do Encarregado foi criada pela LGPD (Lei Geral de Proteção de Dados). De acordo com o artigo 5º, inciso VIII, o Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre controlador, titulares de dados e ANPD (Autoridade Nacional de Proteção de Dados). O encarregado age como um “fiscal” do cumprimento da LGPD e, portento, é crucial durante o processo de adequação à LGPD.
A LGPD obrigatoriamente elencou a nomeação do encarregado pelo tratamento de dados pessoais, cargo equivalente ao Data Protection Officer (DPO), previsto na legislação europeia (GDPR). A Resolução CD/ANPD 2/2022, que regulamenta o tratamento jurídico diferenciado da LGPD, flexibilizou a necessidade desta nomeação para empresas de pequeno porte e startups, porém com várias ressalvas.
Desde a entrada em vigor da LGPD, em 2020, estudos apontam que as grandes empresas e multinacionais estão preocupadas em se adequar a esta nova norma, o que não ocorre com as pequenas e médias empresas, muito embora elas sejam a grande maioria no país. A adequação é um processo organizacional dinâmico e permanente, pois envolve diversos setores internos e externos da empresa, sendo imprescindível a atuação conjunta de todos os níveis hierárquicos da empresa, desde a operação até o estratégico.
Diante deste contexto, as empresas de pequeno e médio porte, que não foram contempladas pela flexibilização das regras da LGPD contidas na resolução CD/ANPD 2/2022, enfrentam enormes desafios no processo de compliance frente à LGPD, especialmente no tocante à nomeação do encarregado, já que demanda conhecimento específico que muitas vezes dentro da estrutura da empresa se torna inviável.
Posto isso, o Encarregado terceirizado, conhecido como DPO as a Service, é uma opção que se torna interessante, já que desenvolve papel externo ao agente de tratamento e seus colaboradores. Seu desempenho pode ser realizado por pessoa física ou jurídica, a depender da escolha da empresa.
O trabalho do DPO as a Service une diversas frentes de conhecimento, resultando em um trabalho de gestão das demandas recebidas pelos titulares de dados, agentes de tratamento e órgãos públicos. Essa modalidade de encarregado impede que ocorram conflitos de interesses entre o eventual funcionário interno nomeado como encarregado e os demais colaboradores da empresa, o que poderia acabar atrapalhando a dinâmica do processo de adequação. Além disso, o nível de entendimento especializado sobre a LGPD e demais normas relacionadas à proteção de dados, sua imparcialidade e independência tornam esse tipo de contratação extremamente vantajoso para as empresas que buscam um serviço especializado e de qualidade, mas que não suportam dentro de seu diagrama organizacional, a internalização desta função.