A LGPD importou do direito europeu a figura do "encarregado pelo tratamento de dados pessoais", conhecido lá fora como DPO (Data Protection Officer).
Ele é o responsável por gerenciar os processos envolvendo dados pessoais dentro de uma empresa. Quando houver algum problema ou um direito a ser exercido por algum titular, é ele que será contatado. Da mesma forma, ele é a ponte de contato entre a empresa e a ANPD, a Autoridade Nacional de Proteção de Dados.
A legislação brasileira permite que essa função seja realizada por uma pessoa jurídica. Assim, é possível que uma empresa terceirizada seja contratada para esse serviço.
E quais são esses serviços? O artigo 41 da Lei Geral de Proteção de Dados Pessoais elenca alguns:
(1) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
(2) receber comunicações da autoridade nacional e adotar providências;
(3) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
(4) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
É importante lembrar que, diferentemente do que ocorre na GDPR (a normativa de proteção de dados europeia), a legislação brasileira não estabeleceu requisitos mínimos para que seja exigida a presença de um encarregado em cada empresa. Isso significa que, pelo menos por enquanto, todas as empresas precisam ter um DPO/encarregado pelo tratamento de dados pessoais.