FERNANDO AUGUSTO DE VITA BORGES DE SALES

A LGPD e a importância de se ter um

DPO full time nas microempresas e
empresas de pequeno porte.

São Paulo

2022
Copyright @2022 Fernando Augusto De Vita Borges de Sales

Todos os direitos dessa obra pertencem ao autor.

Citações devem sempre indicar a fonte.

Sobre o autor.

Fernando Augusto De Vita Borges de Sales

Advogado inscrito na OAB/SP.

Mestre em direitos difusos e coletivos (2008).

Pós-graduado em Direito Civil (1998), Direito do Trabalho (2003), e Direito do

Consumidor (2005)

Professor universitário e em vários cursos de pós-graduação e preparatórios para

concursos e exame de ordem.

Palestrante do Departamento de Cultura e Eventos da OAB/SP

Autor de várias obras na área jurídica, incluindo os livros CPC comentado artigo por
artigo (na 3ª edição), Manual de direito processual civil (na 2ª edição) e Código de
Processo Civil anotado e interpretado conforme a doutrina e a jurisprudência, pela
editora Rideel; Desconsideração da personalidade jurídica e Juizados especiais cíveis,
pela editora JHMizuno; Direito do trabalho de A a Z, pela Editora Saraiva; Súmulas do
TST comentadas, pela Editora LTr; Direito empresarial contemporâneo e Direito
ambiental empresarial, ambos pela Editora Rumo Legal.

Contatos:

email: sales_fernando@hotmail.com

facebook: Fernando Augusto Sales

instagram: Fernando_augusto_sales.
 A LGPD e a importância de se ter um DPO full
time nas microempresas e empresas de
pequeno porte.

Fernando Augusto De Vita Borges de Sales

Introdução

Vivemos numa sociedade da informação, na qual os dados pessoais adquirem

uma extrema importância, inclusive em razão do valor econômico que podem lhes ser
atribuídos. Por essa razão, os dados pessoais devem atenção do Estado, e sua
proteção, estabelecida em lei. Vem daí a promulgação da Lei Geral de Proteção de
Dados (LGPD).

Dentre as figuras previstas na LGPD, destacaremos, nesse pequeno ensaio, o

encarregado [também chamado de DPO por conta da legislação europeia], que exerce
uma importante função dentro do sistema de proteção de dados pessoais.

I. O encarregado na LGPD.

O encarregado é a pessoa indicada pelo controlador para atuar como canal de

comunicação entre o este, os titulares dos dados e a Autoridade Nacional de Proteção
de Dados (ANPD). O encarregado não é considerado agente de tratamento, porque
não lida diretamente com os dados, mas apenas assessora o controlador e o operador
na relação entre estes, os titulares dos dados e a ANPD.

É conhecido também como DPO (Data Protection Officer), por conta da

terminologia em inglês utilizada na GDPR, mas com este não se confunde. Embora a
figura do encarregado tenha inspiração do DPO, as atribuições deles são diferentes.

As atribuições do encarregado estão previstas no art. 41 da LGPD, e são:

 I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem

tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em

normas complementares.

Pelo § 3º desse art. 41, a Autoridade Nacional de Proteção de Dados (ANPD)

poderá estabelecer normas complementares sobre a definição e as atribuições do
encarregado, mas isso ainda não ocorreu, ou seja, nenhuma atribuição extra recai
sobre o encarregado, além daquelas previstas na LGPD.

O Guia orientativo para definições dos agentes de tratamento de dados

pessoais e do encarregado, publicado pela ANPD, trata do encarregado à seguinte
forma:

6. ENCARREGADO

6.1 Definição legal

67. Conforme o artigo 41 da LGPD, o controlador de dados deverá indicar um encarregado

pelo tratamento de dados pessoais. O encarregado é o indivíduo responsável por
garantir a conformidade de uma organização, pública ou privada, à LGPD [art. 41. O
controlador deverá indicar encarregado pelo tratamento de dados pessoais].

68. Ao contrário de outras legislações de proteção de dados estrangeiras, a LGPD não

determinou em que circunstâncias uma organização deve indicar um encarregado.
Assim, deve-se assumir, como regra geral, que toda organização deverá indicar uma
pessoa para assumir esse papel.

69. Contudo, de acordo com o § 3º do art. 41, normativas futuras da ANPD poderão trazer
hipóteses de dispensa da necessidade de indicação do encarregado, conforme a natureza
e o porte da entidade ou o volume de operações de tratamento de dados.

70. O artigo 41 da LGPD não faz distinção quanto a instituições públicas ou privadas e por
isso é importante que ambas estejam cientes da sua obrigação de indicar um
encarregado de dados. A esse respeito, o art. 23, III, reforça a necessidade de um
encarregado ser indicado por órgãos e entidades públicas.

71. A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e
se deve ser um funcionário da organização ou um agente externo. Considerando as boas
práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição
quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o
 encarregado seja indicado por um ato formal, como um contrato de prestação de
serviços ou um ato administrativo.

72. Como boa prática, considera-se importante que o encarregado tenha liberdade na
realização de suas atribuições. No que diz respeito às suas qualificações profissionais,
estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o
indica, considerando conhecimentos de proteção de dados e segurança da informação
em nível que atenda às necessidades da operação da organização.

73. Também é importante observar que a LGPD não proíbe que o encarregado seja
apoiado por uma equipe de proteção de dados. Ao contrário, considerando as boas
práticas, é importante que o encarregado tenha recursos adequados para realizar suas
atividades, o que pode incluir recursos humanos. Outros recursos que devem ser
considerados são tempo (prazos apropriados), finanças e infraestrutura.

74. Conquanto a LGPD não impeça que um mesmo encarregado atue em nome de
diferentes organizações, é importante que ele seja capaz de realizar suas atribuições com
eficiência. Assim, antes de indicar um encarregado, o controlador deve considerar se ele
será mesmo capaz de atender às suas demandas e de outras organizações
concomitantemente. A responsabilidade pelas atividades de tratamento de dados
pessoais continua sendo do controlador ou do operador de dados, conforme estabelece
o art. 42 da LGPD.

75. De acordo com o § 2º do art. 41, o encarregado possui as seguintes atribuições: - aceitar
reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências; - receber comunicações da autoridade nacional e adotar providências; -
orientar os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais; e - executar as demais atribuições
determinadas pelo controlador ou estabelecidas em normas complementares.

76. Por agir como um ponto de contato com os titulares de dados e a ANPD, é importante
que os detalhes de contato do encarregado de dados estejam facilmente acessíveis, nos
termos do § 1º do art. 41 da LGPD: A identidade e as informações de contato do
encarregado deverão ser divulgadas publicamente, de forma clara e objetiva,
preferencialmente no sítio eletrônico do controlador.

77. Em alinhamento com o § 3º do art. 41, a ANPD poderá estabelecer normas

complementares sobre a definição e atribuições do encarregado.

78. Ressalte-se que não há necessidade, tendo em vista a ausência de previsão legal ou
regulamentar, de comunicação ou de registro da identidade e das informações de
contato do encarregado perante a ANPD.

II. Microempresas e empesas de pequeno porte.

Através da Lei Complementar nº 123, de 14 de dezembro de 2006, foi introduzido

no ordenamento jurídico pátrio o novo Estatuto da Microempresa e da Empresa de
Pequeno Porte, em substituição ao anterior, que era de 1999.
 Já há algum tempo o legislador pátrio tem produzido leis para regulamentar
situações específicas. Assim, nos últimos anos vimos surgir leis que atendem a
determinadas pessoas e/ou situações jurídicas, como o Código de Defesa do
Consumidor, o Estatuto do Idoso, o Estatuto do Torcedor, o Estatuto da Criança e do
Adolescente, que têm o objetivo específico de regular a situação de pessoas
diferenciadas. A medida é salutar e vem ao encontro do espírito da nossa Constituição
Federal.

Com relação específica à microempresas e empresas de pequeno porte, a

CF1988, ao tratar da ordem econômica, assegura, no art. 170, IX, o tratamento
favorecido para as empresas de pequeno porte constituídas sob as leis brasileiras e
que tenham sua sede e administração no País.

Nesse contexto, foi editada a Lei n. 9.841/1999, que tratava da microempresa e

da empresa de pequeno porte, mas que foi revogada pela Lei Complementar n.
123/2006, que instituiu o Estatuto Nacional da Microempresa e da Empresa de
Pequeno Porte (art. 1º).

Denomina-se estatuto, em linguagem técnica-jurídica, qualquer lei que disciplina

direitos e deveres de uma específica categoria de determinadas pessoas. Assim, para
que tal lei possa ser aplicada, é necessário estabelecer o que é microempresa e o que
é empresa de pequeno porte. A definição é dada pelo art. 3º da Lei Complementar n.
123/2006, e tem relação direta com o faturamento da empresa: consideram-se
microempresa ou empresa de pequeno porte a sociedade empresária, a sociedade
simples ou o empresário individual, sendo que:

- Microempresa é a empresa que tem receita bruta anual igual ou inferior a R$

240.000,00;

- Empresa de pequeno porte é a que tem receita bruta anual superior a R$ 240.000,00
e inferior ou igual a R$ 2.400.000,00.

Somente os empresários, as sociedades empresárias e as sociedades simples que

se enquadrem em tais situações serão consideradas microempresa ou empresa de
pequeno porte, conforme o caso, e poderão se valer das disposições constantes da
Lei Complementar 123/06, em razão do princípio da especificidade, e de demais
benefícios legais previstos em outras leis.

III. O DPO e as microempresas e empresas de pequeno porte.

A LGPD, no art. 41, § 3º, dispôs que a autoridade nacional poderá estabelecer
normas complementares sobre a definição e as atribuições do encarregado, inclusive
hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o
porte da entidade ou o volume de operações de tratamento de dados.

Essa questão foi tratada pela ANPD na Resolução CD/ANPD nº 2, de 27 de janeiro

de 2022, que estabelece o regulamento para aplicação da LGPD a agentes de
tratamento de dados de pequeno porte.

Para efeitos do regulamento, no art. 2º, são adotadas as seguintes definições:

i) agentes de tratamento de pequeno porte: microempresas, empresas de pequeno

porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos
termos da legislação vigente, bem como pessoas naturais e entes privados
despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações
típicas de controlador ou de operador;

ii) microempresas e empresas de pequeno porte: sociedade empresária, sociedade

simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26
de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10
de janeiro de 2002 (Código Civil), incluído o microempreendedor individual,
devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de
Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei
Complementar nº 123, de 14 de dezembro de 2006;

iii) startups: organizações empresariais ou societárias, nascentes ou em operação

recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou
a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II
da Lei Complementar nº 182, de 1º de junho de 2021; e

iv) zonas acessíveis ao público: espaços abertos ao público, como praças, centros
comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos,
bibliotecas públicas, dentre outros.

Mas, pelo art. 3º, não poderão se beneficiar do tratamento jurídico diferenciado
previsto no Regulamento os agentes de tratamento de pequeno porte que:

i) realizem tratamento de alto risco para os titulares: na forma do art. 4º, será
considerado de alto risco o tratamento de dados pessoais que atender
cumulativamente a pelo menos um critério geral e um critério específico, dentre os a
seguir indicados:

i.I) critérios gerais:

a) tratamento de dados pessoais em larga escala: que será caracterizado

quando abranger número significativo de titulares, considerando-se,
 ainda, o volume de dados envolvidos, bem como a duração, a frequência
e a extensão geográfica do tratamento realizado.

b) tratamento de dados pessoais que possa afetar significativamente

interesses e direitos fundamentais dos titulares: que será caracterizado,
dentre outras situações, naquelas em que a atividade de tratamento
puder impedir o exercício de direitos ou a utilização de um serviço, assim
como ocasionar danos materiais ou morais aos titulares, tais como
discriminação, violação à integridade física, ao direito à imagem e à
reputação, fraudes financeiras ou roubo de identidade.

i.II) critérios específicos:

a) uso de tecnologias emergentes ou inovadoras;

b) vigilância ou controle de zonas acessíveis ao público;

c) decisões tomadas unicamente com base em tratamento

automatizado de dados pessoais, inclusive aquelas destinadas a definir
o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os
aspectos da personalidade do titular; ou

d) utilização de dados pessoais sensíveis ou de dados pessoais de

crianças, de adolescentes e de idosos.

Ressalva-se, no entanto, a hipótese prevista no art. 8º: fica facultado aos

agentes de tratamento de pequeno porte, inclusive àqueles que realizem
tratamento de alto risco, organizarem-se por meio de entidades de representação
da atividade empresarial, por pessoas jurídicas ou por pessoas naturais para fins de
negociação, mediação e conciliação de reclamações apresentadas por titulares de
dados.

ii) aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei
Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei
Complementar nº 182, de 2021; ou

iii) pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse
os limites referidos no inciso II, conforme o caso.

Por força do art. 7º, é obrigação dos agentes de tratamento de pequeno porte
disponibilizar informações sobre o tratamento de dados pessoais e atender às
requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD,
por meio:
i) eletrônico;

ii) impresso; ou

iii) qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado
às informações pelos titulares.

III. 1. Prazos diferenciados

O art. 14 do Regulamento assegura aos agentes de tratamento de pequeno porte

o prazo em dobro:

i) no atendimento das solicitações dos titulares referentes ao tratamento de seus

dados pessoais, conforme previsto no art. 18, §§ 3º e 5º da LGPD, nos termos de
regulamentação específica;

ii) na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que

possa acarretar risco ou dano relevante aos titulares, nos termos de regulamentação
específica, exceto quando houver potencial comprometimento à integridade física
ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a
comunicação atender aos prazos conferidos aos demais agentes de tratamento,
conforme os termos da mencionada regulamentação;

iii) no fornecimento de declaração clara e completa, prevista no art. 19, II da LGPD;

iv) em relação aos prazos estabelecidos nos normativos próprios para a

apresentação de informações, documentos, relatórios e registros solicitados pela
ANPD a outros agentes de tratamento.

III.2. Dispensa de indicação do DPO.

Com relação especifica ao Encarregado pelo Tratamento de Dados Pessoais,

comumente chamado de DPO, o art. 11 prevê a dispensabilidade, ao dispor que os
agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado
pelo tratamento de dados pessoais exigido no art. 41 da LGPD. Todavia, o agente de
tratamento de pequeno porte que não indicar um encarregado deve disponibilizar
um canal de comunicação com o titular de dados para atender o disposto no art. 41,
§ 2º, I da LGPD.

Mas, apesar da dispensa, o § 2º do art. 11 reconhece que a indicação de

encarregado por parte dos agentes de tratamento de pequeno porte será
considerada política de boas práticas e governança para fins do disposto no art. 52,
§1º, IX da LGPD.
 É importante ressaltar que, apesar da dispensa ora apontada, é de suma
importância que o agente de tratamento de pequeno porte tenha um DPO próprio,
especialmente quem lide, normalmente, com dados pessoais. Havendo qualquer
problema com os dados pessoais tratados, o agente deverá ter um DPO para se
comunicar com o titular ou com a ANPD.

Conclusão.

A Lei Geral de Proteção de Dados (LGPD) veio para revolucionar a política de

tratamento de dados no País, e vai afetar, praticamente, todas as atividades
econômicas. Lidar com dados pessoais é, hoje, bastante comum, e é isso que justifica
a necessidade de sua proteção.

Microempresas e empresas de pequeno porte também estão sujeitas às regras

da LGPD, ou seja, à proteção dos dados pessoais por elas tratados. O que se ora
estabelece são apenas alguns benefícios por conta de sua condição especial. Um
desses benefícios é a dispensa da indicação do DPO.

Mas a dispensa é apenas da indicação. Não há a dispensa do DPO. Assim,

havendo qualquer problema em relação aos dados tratados, a microempresa e a
empresa de pequeno porte deverão contar com um DPO. Isso significa dizer que ela
terá de contar com um profissional dessa área. É por essa razão que entendemos que
tais empresas deverão contar com um DPO full time, ou seja, em tempo integral. Isso
representará, a longo prazo, em uma sensível economia para elas.

Bibliografia

SALES, Fernando Augusto De Vita Borges.

2021. Manual da LGPD. Leme: JH Mizuno.

2022. Direito Digital e as relações privadas na internet. Leme: JH Mizuno.