Artigo 41: A Figura do Encarregado (DPO) – O Guardião da Privacidade na Empresa

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em: I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II - receber comunicações da autoridade nacional e adotar providências; III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

O que isso significa na prática?

Este artigo cria a figura do Encarregado pelo Tratamento de Dados Pessoais, mais conhecido como Data Protection Officer (DPO). Toda empresa que atua como controladora precisa, em regra, indicar uma pessoa para essa função.

O Encarregado é o ponto de contato, a ponte entre os três principais atores da proteção de dados:

1. Os Titulares: Ele atende às solicitações, dúvidas e reclamações dos clientes, funcionários e usuários.

2. A ANPD: Ele é o canal de comunicação oficial entre a empresa e a autoridade fiscalizadora.

3. A Empresa: Ele orienta e treina os colaboradores sobre as melhores práticas de proteção de dados.

A ANPD tem o poder de criar regras que dispensem a indicação do Encarregado para pequenas empresas, dependendo do volume e da natureza do tratamento de dados que elas realizam.

Como se Aplica ao seu Negócio?

A nomeação de um Encarregado é uma das ações mais visíveis e importantes do programa de conformidade da sua empresa.

🙋 Quem Pode Ser o Encarregado? Pode ser um funcionário da própria empresa ou um terceiro contratado (pessoa física ou jurídica), modelo conhecido como “DPO as a Service”. O importante é que ele tenha conhecimento sobre a lei e liberdade para atuar.

🌐 Contato Público e Acessível: Sua empresa precisa ter uma página de privacidade em seu site com o nome e o e-mail de contato do Encarregado (ex: [email protected]). Essa informação deve ser fácil de encontrar.

💪 Autonomia e Recursos: O Encarregado não pode ser uma figura meramente decorativa. Ele precisa de autonomia para executar suas funções sem conflito de interesses e ter o respaldo da alta direção para implementar as práticas de proteção de dados.