A Lei 13.709/2018, Lei Geral de Proteção de Dados, criou a função do Encarregado de proteção de dados (tem outros textos no meu perfil falando sobre quem é), e a Autoridade Nacional de Proteção de Dados (ANPD) em suas resoluções esclareceu a possibilidade de o Encarregado ser terceirizado, criando assim o Encarregado “como serviço”.
Quais funções a Lei estipula?
Como sabido, é o Encarregado a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD.
Assim, a Lei determina no artigo 41 que é o encarregado que irá:
Desta forma, o Encarregado “como serviço” deve organizar suas atividades com o fim de exercê-las adequadamente.
De que forma o Encarregado irá exercer suas atividades?
Seja na instituição pública ou privada, com o Encarregado pessoa física ou jurídica, funcionário ou terceirizado (tem um texto sobre como escolher o mais adequado para a realidade da sua organização), as atividades estipuladas pela Lei devem ser cumpridas.
Para tanto, trago algumas sugestões para cumprir a função com excelência.
A um, uma reunião inicial na organização, onde será feita a apresentação do Encarregado e da função que irá exercer, para que todos estejam cientes das atividades a serem exercidas.
Concomitante, deve ser criado o Comitê da organização (se ainda não existir) que será responsável pelos assuntos que envolvam a Lei Geral de Proteção de Dados, onde estarão presentes um responsável de cada área da organização e o Encarregado.
Com o comitê será determinada a melhor data para as reuniões, periódicas e não mais do que um mês entre cada reunião, para que a organização esteja sempre atualizada.
A dois, o treinamento da organização sobre os Agentes de Tratamento e Encarregado de proteção de dados para que esteja claro qual o papel da organização dentro dos contratos existentes, com a aplicação de um quiz aos participantes para medir o entendimento e ter evidência da boa prática aplicada, bem como esclarecer as dúvidas que restaram.
Ainda, criar um comunicado aos clientes, fornecedores e parceiros da organização de que está em adequação (ou já está adequada, se for o caso), com os meios de contato com o Encarregado, bem como disponibilização do contato do Encarregado nas redes sociais e meios de contato da organização.
A três, nas reuniões definidas para alinhamento deverão ser revistas as atividades do plano de ação enquanto estiver em fase de implementação, com a estipulação de prazos e ficando a cargo do Encarregado a cobrança para que sejam cumpridas. Ainda, caso haja alguma novidade e casos novos ao longo do tempo, serão expostas na reunião.
Após a implementação, as reuniões deverão ser utilizadas para acompanhar as boas práticas da organização, atualizações nas resoluções, novos casos e as atividades contínuas, como por exemplo: prazos para descarte de documentos, renovações contratuais, atualizações de softwares, entre outras.
A quatro, elaborar as comunicações internas sobre proteção de dados, com artigos importantes, leituras recomendadas e dicas de boas práticas, definindo a periodicidade do envio das comunicações com o Comitê.
Percebe-se que todas as atividades até então trazidas tratam-se de atividades preventivas, que têm o fito explicativo e educativo da organização, para que a cultura das boas práticas esteja sempre ativa.
Mas há, também, as demandas tanto dos titulares dos dados quanto da Autoridade Nacional de Proteção de Dados.
Para tanto, o Encarregado irá estipular, junto com o Comitê, em quais situações será necessária uma reunião para responder as demandas e quais situações serão de resposta pelo Encarregado, de forma automática, com base no mapeamento e inventário dos dados pessoais da organização, bem como se há alguma situação específica em que o comitê obrigatoriamente deve estar ciente.
No que tange às atividades do Encarregado, nota-se que com as medidas sugeridas as obrigações legais são cumpridas, bem como as boas práticas são demonstradas.
Para isso, o Encarregado precisa definir os sites de confiança que irá consultar, tais como do governo, da autoridade brasileira, da autoridade da união europeia, entre outros, bem como a periodicidade das consultas para manter-se sempre atualizado das novidades.
Ainda, manter o e-mail sempre atualizado, tendo em vista o curto prazo para resposta aos questionamentos e o contato fácil e rápido com o comitê, para dúvidas e esclarecimentos de ambas as partes.