LGPD: Veja as principais dúvidas das empresas sobre o encarregado de dados

A LGPD já está em vigor e muitas empresas ainda não designaram um encarregado de dados por ter dúvidas do que é preciso.

A Lei Geral de Proteção de dados (LGPD) regulamenta o tratamento dos dados pessoais por pessoa física ou por pessoa jurídica de direito público ou privado no território nacional.

Inspirada na Legislação Europeia de Proteção de Dados Pessoais (“General Data Protection Regulation – GDPR”), a LGPD exige que as empresas e profissionais autônomos revejam as suas operações e procedimentos que envolvam a utilização de dados pessoais dos seus colaboradores, clientes, fornecedores e parceiros comerciais.

A LGPD trouxe a figura do encarregado de dados, que é equivalente ao DPO (data protection officer) na GDPR.

1- Quais as atribuições do encarregado de dados/DPO?

Pelos termos da LGPD (art. 41, §2º) as atribuições do encarregado são as seguintes: (i) aceitar reclamações e comunicações dos titulares e prestar os respectivos esclarecimentos;(ii) receber comunicações da autoridade nacional e adotar providências necessárias; (iii) orientar os funcionários e os contratados da organização a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A Lei ainda reserva a possibilidade de a Autoridade Nacional de Proteção de Dados (ANPD) estabelecer novas atribuições ao encarregado e também a possibilidade de dispensa da obrigatoriedade da sua indicação, a depender da natureza, do porte da entidade ou do volume de operações de tratamento de dados. Contudo, enquanto a ANPD não expedir qualquer regulamentação nesse sentido, todas as empresas precisaram indicar o contato do seu encarregado de forma clara e objetiva, preferencialmente no seu sítio eletrônico.

2- O encarregado deve ser um empregado da empresa ou pode ser terceirizado?

Pelos termos da lei, a empresa pode optar por qualquer uma destas modalidades, desde que a opção escolhida seja capaz de bem atender as atribuições previstas no art. 41, §2º da LGPD acima mencionadas.

As vantagens de o encarregado ser um colaborador da empresa são o maior conhecimento dos procedimentos internos e o seu maior comprometimento com a organização. Por outro lado, esta opção acaba representando um custo alto para a empresa e por isso acaba sendo mais indicada para as empresas de médio e grande porte.

Caso seja um colaborador que acumule funções (não seja exclusivamente encarregado/DPO), é importante que não ocupe posição que o leve a determinar os objetivos e os meios de processamento de dados pessoais, pois deve ser garantida a autonomia e a isenção do encarregado Assim, o encarregado não pode ser responsável por funções que possam resultar na alocação da proteção de dados em papel secundário diante dos interesses comerciais da organização.

Portanto, para que não haja conflitos de interesses, pode ser nomeado como encarregado um colaborador já existente na empresa, desde que os seus deveres profissionais sejam compatíveis com os deveres legais do encarregado.

Por sua vez, o encarregado terceirizado pode representar um custo mais baixo para a empresa, sendo mais indicado para empresas de pequeno e médio porte. Para desempenhar a sua função é necessário o prévio conhecimento das rotinas da organização e por não compor a equipe interna da empresa acaba tendo maior autonomia no desempenho da sua função.

Seja interno ou terceirizado para que o encarregado possa cumprir com as suas funções é de rigor o seu envolvimento com todas as questões relacionadas com a proteção de dados na empresa, que se reporte diretamente com o mais alto nível da gestão da organização e que seja assegurada atuação de forma independente, autônoma e com os recursos adequados (tempo suficiente, finanças, infraestrutura e, quando apropriado, equipe etc).

3- Quais as qualificações necessárias para ocupar o cargo de encarregado de dados/DPO?

A LGPD não faz qualquer menção neste sentido. Já a GDPR diz que o DPO deve ter experiência e conhecimento especializado em legislação de proteção de dados, mas não lista as credenciais/certificações que se espera que ele tenha. Ressalva, apenas, que deve ser proporcional ao tipo de tratamento de dados pelo qual será responsável.

4- Qual a responsabilidade do encarregado de dados?

O encarregado não é pessoalmente responsável pela conformidade da empresa. No entanto, desempenha papel crucial em ajudar o controlador e o operador de dados cumprirem adequadamente os termos da LGPD dentro da organização.

Por tal razão as empresas devem ter cautela na nomeação do seu respectivo encarregado de dados.

Fonte: Contábeis

5 dicas para elaborar uma política de privacidade de dados

Com o início da vigência da Lei Geral de Proteção de Dados no Brasil, muitos usuários vem recebendo avisos de políticas de privacidade de dados, seja em aplicativos ou em sites de empresas.

Com o início da vigência da Lei Geral de Proteção de Dados no Brasil, muitos usuários vem recebendo avisos de políticas de privacidade de dados, seja em aplicativos ou em sites de empresas.

Mas afinal, o que é uma política de privacidade de dados?

Esse documento descreve as práticas adotadas pela empresa para tratar os dados pessoais coletados do usuário. Exerce um papel muito importante, pois esclarece ao titular dos dados como suas informações pessoais serão tratadas, demonstrando suas finalidades, garantindo maior segurança e transparência na relação com o público.

Logo, a importância da política de privacidade está intimamente ligada à transparência e credibilidade com seu público. É vital que na década que inicia uma cultura de proteção de dados no território brasileiro, que as empresas se preocupem em informar os usuários como seus dados serão utilizados, para que ele autorize ou não sua captação.

A política de privacidade de dados também é uma ferramenta estratégica para prevenção de litígios, pois o documento bem escrito e detalhado, dá a alternativa para o titular aceitar ou não suas condições, evitando discussões futuras

Aqui vai algumas dicas para montar uma boa política de privacidade para sua empresa:

Linguagem simples

Sabemos o quanto esse documento pode ser importante para a empresa, principalmente em uma época que a proteção de dados está tão buscada. Então, para começar, se preocupe em conseguir transmitir informações aos titulares com clareza, de forma simples.

Esqueça o famoso “juridiquês” dos contratos e termos. As cláusulas devem ser escritas de forma acessível a usuários que não conhecem as Leis. Isto é vital para organização conseguir, inclusive, captar aquele usuário como cliente, pois se você não for claro o suficiente, o usuário poderá buscar na concorrência a simplicidade que ele procura.

Aqui deixo um case de sucesso no quesito “simplicidade” e “clareza” de política de privacidade, que é do Nubank, empresa que já possui um histórico de abolir as famosas letras miúdas e burocracia de suas operações, e na sua política de privacidade, não foi diferente. Recomendo a leitura!

 A política deve ser de fácil acesso

Não esconda esse documento! Mantenha disponível em local do seu site de fácil acesso, para que o usuário não perca muito tempo procurando.

Lembre-se que este documento não é uma burocracia, e sim, uma importante estratégia para mitigar seus litígios envolvendo o tratamento de dados pessoais. Não esqueça também que o fácil acesso é requisito essencial para utilização de ferramentas, como o Google Adwords.

Explique de forma objetiva como os dados serão utilizados

Ninguém gosta de ler enormes documentos. Então, busque explicar de forma objetiva como você irá tratar os dados coletados, se estas informações serão repassados à terceiros para operar em seu nome, que tipo de informações você está coletando, demonstre leis que embasam a legalidade dos tratamentos que você irá realizar.

A prática, de forma objetiva e clara, transmite ao usuário a sensação de honestidade e transparência. Além disso, é requisito essencial previsto na Lei Geral de Proteção de Dados.

Atualize sua política

A elaboração de uma política de privacidade de dados não é uma situação única que você deverá se preocupar. Mantenha esse documento sempre atualizado e em primeira mão. As condições de privacidade podem alterar, e quando isso acontecer, você deve informar todos os usuários sobre isso.

Faz parte da transparência que é tão buscada para proteger os dados pessoais dos usuários.

Busque profissionais para lhe auxiliar na elaboração deste documento

O processo de criação e atualização de política de privacidade de dados não necessariamente depende de um advogado. Você pode buscar profissionais que estão atuando diretamente na implementação de culturas de proteção de dados e de conformidade com a LGPD, como é o caso do DPO (Encarregado de Dados – Data Protection Officer).

O DPO é o profissional definido na Lei Geral de Proteção de Dados para fazer ligação entre empresa, os usuários e a Autoridade Nacional de Proteção de Dados (ANPD), e por buscar constantemente o compliance com a LGPD, poderá lhe auxiliar na elaboração de uma boa política de privacidade de dados.

Fonte: Contábeis