A possibilidade de isenção do papel de Encarregado de Proteção de Dados (DPO) para empresas é um tema relevante no cenário brasileiro com a implementação da Lei Geral de Proteção de Dados Pessoais (LGPD). O § 3º do artigo 41 da LGPD prevê que a Autoridade Nacional de Proteção de Dados (ANPD) pode estabelecer normas complementares para dispensar a obrigatoriedade do Encarregado de Dados para algumas empresas, de acordo com seu porte e natureza do objeto empresarial.
O artigo 11 da Resolução CD/ANPD 2/22, aborda que “os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no artigo 41 da LGPD”. Nesse caso, a empresa deve possuir um canal de comunicação para que os titulares de dados possam esclarecer dúvidas.
O artigo 3 da mesma resolução estabelece que os agentes que tratam de dados considerados de alto risco, levando em conta fatores como a natureza, o escopo, o propósito e o impacto do tratamento de dados, não podem se beneficiar dessa disposição. Quando uma empresa atende cumulativamente a pelo menos um critério geral e um critério específico, a atividade é considerada de alto risco, exigindo a nomeação de um DPO.
Vejamos:
Os critérios gerais abrangem o tratamento em larga escala ou que possa impactar significativamente interesses e direitos fundamentais dos titulares. Já os critérios específicos incluem o uso de tecnologias emergentes, vigilância em áreas públicas, decisões baseadas em tratamento automatizado de dados (incluindo a definição de perfis pessoais e profissionais), e a manipulação de dados sensíveis, bem como informações de crianças, adolescentes e idosos. Esses critérios visam classificar atividades de tratamento de dados como de alto risco, exigindo maior atenção e a designação de um Encarregado de Proteção de Dados (DPO).
A possibilidade de dispensa do DPO para empresas de pequeno porte é um aspecto que visa equilibrar a conformidade com a LGPD e a realidade econômica dessas organizações. No entanto, é crucial que as micro e pequenas empresas compreendam a importância da proteção de dados e adotem medidas proporcionais ao risco associado às suas atividades de tratamento. A dispensa do DPO não exime essas empresas de cumprir as demais obrigações previstas na LGPD, sendo necessário implementar medidas adequadas de segurança e privacidade.
Em suma, a discussão sobre a possibilidade de isenção de DPO para empresas destaca a necessidade de flexibilidade na aplicação da legislação de proteção de dados, reconhecendo as diferenças entre os diversos tipos de negócios. No entanto, é fundamental que qualquer dispensa seja acompanhada de medidas eficazes para garantir a proteção dos dados pessoais, evitando assim possíveis violações e prejuízos aos titulares das informações. O constante diálogo entre as empresas, a ANPD e demais órgãos reguladores é essencial para aprimorar a legislação e promover um ambiente de negócios seguro e conforme com as normas de proteção de dados.
contato@stafin.adv.br