Primeiramente, destaca-se que o termo mais comum utilizado no mercado é “DPO” (Data Protection Officer), cujo papel perante a LGPD se resume em ser a ponte entre o titular de dados, o controlador e a ANPD.

A princípio, todos os agentes de tratamento estariam obrigados a indicar um encarregado; entretanto, uma regulamentação recente da ANPD2, denominada “Resolução CD/ANPD no 2”, publicada em 27 de janeiro de 2022, isentou os agentes de tratamento de pequeno porte desta obrigação.

Não obstante, é importante frisar que esta dispensa não significa que estes agentes de tratamento estarão dispensados do cumprimento da LGPD, conforme previsto no art. 6o desta referida Resolução:

“Art. 6o A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.”

Ainda, corroborando com o art. 6o, há a disposição do art. 12:

“Art. 12. Os agentes de tratamento de pequeno porte devem adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança da informação para proteção dos dados pessoais, considerando, ainda, o nível de risco à privacidade dos titulares de dados e a realidade do agente de tratamento.”

Esclarecido este ponto, cabe retornar à questão aqui tratada, que diz respeito ao encarregado de dados.

Desta maneira, convém deixar uma recomendação: este encarregado deverá deter amplos conhecimentos técnicos e jurídicos sobre temas de privacidade e segurança da informação, a fim de auxiliar o controlador através do seu conhecimento, incluindo também entre as suas funções:

a) atendimento às demandas dos titulares;

b) o assessoramento na emissão do relatório de impacto à proteção de dados pessoais (RIPD);

c) a elaboração de opiniões e pareceres técnicos acerca da proteção de dados pessoais pela entidade;

d) o monitoramento da conformidade das atividades de tratamento de acordo com as legislações e regulamentações aplicáveis; e

e) a recomendação de elaboração de relatórios de impacto à proteção de dados pessoais (RIPD) sempre que necessário.

Na verdade, qualquer funcionário poderá exercer a função de DPO, desde que não haja conflito de interesses; entretanto, a empresa controladora deverá sempre fazer atenção ao nível de conhecimento desse funcionário.

Um outro ponto importante, em destaque, diz respeito ao salário do DPO, vez que não se trata de um profissional barato, havendo, pois, um movimento no mercado com o fito de terceirizar esta função a empresas especializadas, o que é denominado DPOaaS (“DPO as a service” ou DPO como um serviço).

Contudo, de posse destas informações, cumpre destacar uma situação que se percebe no mercado: algumas empresas estão sugerindo capacitar um de seus profissionais de TI ou, até mesmo de Segurança da Informação, para o cargo de DPO, com a finalidade de redução de custos. Entretanto, é visível que talvez esta não seja a maneira mais inteligente para que se dê esta contenção de gastos, conforme se depreende da situação abaixo:

Tome-se como exemplo uma empresa que escolha um de seus funcionários que tenha como salário o valor de R$2.500,00 e resolva investir nele, pagando-lhe alguns treinamentos, para que este se torne o seu DPO exclusivo. Para deixá-lo um pouco mais motivado, além dos treinamentos decide-se por lhe conceder um aumento salarial, ajustando-o para R$ 3.000,00. Aqui instaura-se o problema, vez que posteriormente esse profissional poderá acessar algum site de pesquisa salarial e logo descobrirá que um DPO tem como salário algo em torno de R$20.000,00. Indaga-se: será que esta empresa não perderá esse profissional para o mercado? Daí a ideia de que esta pode não ser a alternativa mais acertada.

Com base no exemplo anterior, parece ser mais inteligente a contratação de uma empresa terceira para exercer essa função e utilizar-se de um profissional de sua confiança como apoio a essa empresa terceira, para que seja possível essa redução de custos almejada. Para finalizar, além dos pontos abordados, não se pode olvidar do que preceitua o §1o do art. 41, ou seja, por se tratar de uma figura tão importante para a efetivação dos direitos dos titulares, todas as informações relacionadas ao encarregado de dados deverão estar facilmente disponíveis, de forma clara e objetiva, e de preferência no site da empresa.