LGPD: órgãos públicos têm menos de 30 dias para anunciar Encarregados (DPOs)

Com a LGPD em vigor, importantes passos práticos rumo à proteção de dados e aculturamento do mercado como um todo estão sendo tomados. Na última quinta-feira, 22, o Ministério da Economia definiu o perfil do encarregado de dados, o DPO, em uma INSTRUÇÃO NORMATIVA DEGDI Nº 100.

Requisitos mínimos:

O documento estabelece os requisitos mínimos que o profissional deverá ter para desempenhar a atividade de encarregado nos órgãos públicos.
Segundo o governo:
§ 1º O Encarregado indicado deverá atender, no mínimo, os seguintes requisitos:
I – ter experiência na análise e elaboração de respostas de pedido(s) de acesso à informação demandado(s) pelo Serviço de Informação ao Cidadão e/ou pela Ouvidoria;

II – possuir conhecimentos multidisciplinares essenciais a sua atribuição, incluindo as áreas de gestão, segurança da informação, gestão de riscos, tecnologia da informação, proteção da privacidade e governança de dados; e

III – possuir conclusão dos cursos de Proteção de Dados no Setor Público e Governança de Dados ou equivalente, quando disponíveis na Escola Virtual de Governo.
Ademais, o documento reitera, assim como disposto na LGPD, que:
Art. 2º A identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico institucional do órgão ou entidade.

Atribuições do encarregado

No tocante às atribuições do encarregado, o documento estabeleceu que o profissional deverá ter acesso direto à alta administração da instituição – o que apenas reforça que o caminho já percorrido pelos profissionais do Compliance anos atrás , agora, mirando nos novos profissionais de tratamento de dados, cuja independência é essencial para o desempenho efetivo do trabalho.

Além disso, o encarregado deverá apoiar as unidades administrativas no atendimento das solicitações de informações em relação as operações de tratamento de dados pessoais, bem como se aperfeiçoar continuamente em capacitações relacionadas à segurança da informação e proteção de dados pessoais, observada a disponibilidade orçamentária e financeira do órgão ou entidade pertencente.

Por fim, o artigo quarto anuncia uma corrida contra o tempo aos órgãos públicos: A indicação do Encarregado deve ocorrer em até trinta dias contados da vigência desta Instrução Normativa, ou seja, as instituições possuem, a partir da data de publicação desta matéria (28), 24 dias para tomarem esta importante decisão quanto ao encarregado de dados.

50 mil encarregados no Brasil

Em um levantamento realizado pela IAPP, identificou-se a necessidade de mais de 50.000 encarregados de dados no Brasil para se fazer cumprir os requisitos da LGPD. Neste contexto, foram observados o porte e o volume médio de operações de tratamento no país.

Lacunas a serem preenchidas

O Artigo 41 da Lei 13.709 contém uma série de lacunas quanto à especificidade do encarregado. O artigo em tela afirma apenas que “o responsável pelo tratamento deve nomear um oficial responsável pelo processamento dos dados pessoais” e fornece uma lista resumida que descreve as responsabilidades do encarregado.

Não há nada no artigo que limite a aplicabilidade do requisito a empresas acima de determinado faturamento, ou ainda, a uma quantidade determinada de tratamento de dados pessoais.

Segundo o estudo publicado pela IAPP, supondo que a maioria das empresas hoje processe pelo menos alguns dados pessoais, o texto da lei tende a indicar que cerca de 4,5 milhões de empresas brasileiras necessitariam nomear seus encarregados. Importante mencionar, ainda, que mais de 90% das empresas brasileiras são pequenas organizações, muitas vezes empregando apenas uma ou duas pessoas. Dessa forma, é irreal cogitar que a o artigo se aplicaria a este tipo de empresa.

Esclarecimentos e a ANPD

Assim como outros importantes e polêmicos tópicos (como o legítimo interesse, por exemplo), espera-se que a ANPD forneça orientações e limitações no tocante ao papel e aplicabilidade do artigo 41 nas empresas à luz da LGPD.

Segundo a Lei geral de proteção de dados, é papel da Autoridade “estabelecer regras complementares sobre a definição e os deveres do oficial, incluindo situações em qual a nomeação de tal pessoa pode ser dispensada, de acordo com a natureza e o porte da entidade ou o volume das operações de processamento de dados.”