No tocante à adequação aos ditames da Lei Geral de Proteção de Dados (Lei nº. 13.709/2018), já se pode considerar como notório, que o controlador e o operador, estão obrigados a manter os registros das operações de tratamento de dados, demonstrando que medidas adotaram para a adequação.
Uma das medidas impostas pela Lei é a indicação do Encarregado pelo Tratamento de Dados Pessoais (Encarregado) ou Data Protection Officer (DPO), que é a nomenclatura utilizada nos EUA e Europa.
O Encarregado é a pessoa indicada pelo controlador e pelo operador, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (art. 5, VIII da LGPD), mas, não se deve minimizar a sua importância, entendendo-o apenas como um canal de reclamações, na forma da legislação, o Encarregado deve manter uma postura ativa, visando cumprir a Política de Privacidade de Dados.
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
- 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
- 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Nesse contexto, a criação de um Comitê de Privacidade e Proteção de Dados, é uma excelente medida, pois, os seus membros podem atuar durante a adequação e também depois de sua conclusão, afinal, qualquer alteração nos procedimentos pode trazer impactos para os titulares dos dados.
A LGPD não exige a criação de um Comitê, nem tampouco impõe regras no tocante a qualificação e experiência dos participantes, assim, cada empresa/entidade, depois de analisar suas atividades de captação, utilização, armazenando e descarte de dados, pode optar pela sua criação ou não, devendo escolher para sua composição, pessoas que ocupam posições estratégicas relacionadas com o tratamento de dados.
Como boas práticas, o Comitê, durante a adequação, deve opinar sobre o andamento das mudanças operacionais necessárias, discutindo os seus impactos e sua aplicabilidade, visando não ferir os direitos dos titulares, nem tampouco, inviabilizar a atividade empresarial.
Finalizada a adequação, o Comitê deve atuar entendendo e dando suporte às decisões sobre novas atividades de tratamento, sobre formas de conscientização e comprometimento de todos os colaboradores e parceiros envolvidos nas atividades relacionadas à Proteção de Dados; além, é claro, de auxiliar o Encarregado no cumprimento das suas funções.
Se você quer se aprofundar na adequação das suas atividades à Lei Geral de Proteção de Dados, entre em contato conosco; nosso time de especialistas pode auxiliar você desde o Diagnóstico de impactos, passando pela elaboração do Projeto de adequação e ainda, atuando em parceria, na efetiva Implantação do projeto de adequação.