Migalhas de IA e Proteção de Dados

O encarregado pelo tratamento de dados pessoais: desafios para a implementação dos Data Protection Officers no setor público

O encarregado pelo tratamento de dados pessoais: desafios para a implementação dos Data Protection Officers no setor público.

4/12/2020

O encarregado de dados é uma das principais figuras do sistema brasileiro de proteção de dados  pessoais. A própria lei o define como "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados" (Art. 5º, VIII, LGPD).

Conforme leciona Patrícia Peck Pinheiro, busca-se com a determinação do art. 41 "garantir que as informações fiquem centralizadas e que o controlador se certifique de que a aplicação das normas receberá efetiva validação. Esse encarregado deve ser pessoa natural, mas pode ser uma pessoa contratada de equipe própria ou terceirizada."1

Em uma leitura menos detida, a figura do encarregado no Brasil assemelhar-se-ia ao que é conhecido no Regulamento Geral de Proteção de Dados da União Europeia (RGPD), paradigma da legislação brasileira, por Data Protection Officer ou apenas DPO.

Por seu turno, os artigos 37 a 39 do RGPD tratam propriamente da figura do encarregado de dados (DPO), cuja leitura  revela se tratar "mais um serviço do que a atividade de uma única pessoa."2

Nos termos do art. 37 do RGPD, enumeram-se as hipóteses em que é obrigatória a designação do encarregado da proteção de dados. Ao analisar o dispositivo, Cintia Rosa Pereira Lima  sintetiza que é obrigatória sua designação quando: a) o tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala.3

Ademais, o mesmo dispositivo dá a possibilidade de que se grupos empresariais ou várias entidades ou órgãos públicos indiquem terceiro coletivamente um único encarregado, ao mesmo passo que "o encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços (art. 37º, 6.)", sendo o elo entre as autoridades de controle.

O art. 39º do RGPD, por sua vez, detalha as funções do encarregado da proteção de dados . O item 2 do mesmo dispositivo, em suma, leva consideração que, "no desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento." A regra de proporcionalidade entre o risco assumido pelo encarregado e os elementos de sua atividade se assemelha com  regra do art. 41, §2º, da LGPD brasileira, dirigindo o comando inclusive à Agência Nacional de Proteção de Dados, quem reproduz o dispositivo ao asseverar que incumbe ao órgão "estabelecer normas complementares sobre a definição e as atribuições do encarregado pelo tratamento de dados pessoais, inclusive nas hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados" (art. 4º, VIII, alínea b, Dec. Fed. 10.474/20).

Conforme destacou-se, a figura do encarregado brasileiro poderia ser análoga à do DPO europeu. Entretanto, Cintia Rosa Pereira Lima é taxativa ao asseverar que o encarregado, conforme designado na Lei Geral de Proteção de Dados brasileira, não é o DPO do RGPD, especialmente pela inegável complexidade de regras que hoje constam do Regulamento europeu ao encarregado, situação diferente da brasileira. Narra a autora, entretanto, que o que poderá vir a acontecer é que a Autoridade Nacional brasileira possa vir a transformar o encarregado de dados na figura do DPO nos termos e critérios do art. 41, §3º, LGPD.4

A lei brasileira é incipiente e até o presente momento o que se pode concluir com segurança é que  não há grande detalhamento das funções do encarregado de dados no Brasil se comparado com a Europa.  A LGPD é de fato mais suscinta quanto aos deveres e atividades do encarregado nos no art. 41 da LGPD, que essencialmente trata da transparência quanto à identidade e informações de contato do encarregado, determinando ao controlador que as divulgue publicamente, de forma clara e objetiva, preferencialmente em seu sítio eletrônico (§1º) ao mesmo passo que enumera não exaustivamente  as atividades do encarregado, que, em síntese, são receber petições de titulares de dados pessoais, prestando-lhe as devidas informações e adotando providências; receber comunicações da ANPD e adotar providências;  promover a orientação de colaboradores a respeito das práticas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, às quais se espera sejam especialmente provindas da Autoridade Nacional.

Certo é que a figura do encarregado de dados veio para ser obrigatória para agentes e controladores privados e oriundos do poder público. Não obstante, o manejo de dados é um tema que tem sempre maior apelo junto ao setor privado, especialmente pela multiplicidade do modelo de negócios envolvendo este recente ativo empresarial, seja por que o poder público tradicionalmente gravita sob princípios próprios no concernente ao manejo de dados.

No setor público o que se tem até o presente momento é uma relativa produção normativa infralegal de instituições públicas indicando como DPOs servidores ou membros das instituições respectivas e enumerando atribuições que procuram espelhar a LGPD sem que haja no presente momento maior detalhamento normativo à míngua de maiores diretrizes da Agência.

O que se pode ao menos destacar é que é obrigatória indicação pelo poder público do encarregado de dados quanto houver tratamento de dados nos termos do art. 39 da lei (Art. 23, III, LGPD), lembrando sempre que os relatórios de impacto à proteção de dados deverão ser solicitados pela ANPD aos que se encontram na exceção à Proteção legal (art. 4º, inciso III c.c. §3º, LGPD).

Nesse sentido, Fabrício da Mota Alves afirma que: "Parece evidente, nesse caso, que a indicação do DPO público seja compulsória e inafastável, uma vez que se trata de conditio sine qua non para o tratamento de dados pessoais pelo poder público. Porém, a questão é mais complexa do que se apresenta."5

No concernente à questão das requisições de dados pessoais do art. 19 da LGPD, há duas hipóteses legais. Uma (inciso I) diz respeito às respostas “automáticas” e, portanto, imediatas – que induzem à conclusão de que se trata de buscas simples e pressupõe sistemas automatizados. Já o inciso II dá o prazo de 15 dias para o fornecimento de “declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.”

Destaque-se que o art. 4º do decreto 10.474/20 que regulamenta a Lei e estrutura a Autoridade Nacional de Proteção de Dados, dentre outras providências, estabelece que o Conselho Diretor da entidade "estabelecer prazos para o atendimento às requisições de que tratam os incisos I e II do caput do art. 19 da Lei nº 13.709, de 2018 [LPGD], para setores específicos, mediante avaliação fundamentada, observado o disposto no § 4º do art. 19 da referida Lei" (Art. 4º, inciso VII).

Assim, resta a esperança que aos poucos a multiplicidade das figuras dos encarregados contribua para o fortalecimento da cultura de proteção dos dados pessoais no Brasil. Por essa razão, conforme leciona José Luiz de Moura Faleiros Júnior, não deve o administrador público ficar preso à legislação e aguardar que a Autoridade traga todas as normas prontas e acabadas, produzindo a "indesejável dependência tecnocrática" contrárias às boas práticas da Administração Pública Digital.6

É necessário ser proativo, em especial porque a administração pública deve combinar a proteção dos dados dos cidadãos como direito fundamental com outros interesses diretamente ligados à sua dignidade informacional, tais como a publicidade e transparência (art. 37, caput, CF).

João Victor Rozatti Longhi é associado do IAPD e defensor público no Estado do Paraná, além de presidente da Comissão de Implementação da LGPD na Defensoria Pública do Estado do Paraná. Professor visitante do PPGD da Universidade Estadual do Norte do Paraná e de graduação da União Dinâmica das Faculdades das Cataratas-UDC. Pós-doutorando no International Post-doctoral Programme in New Technologies and Law do Mediterranea International Centre for Human Rights Research (MICHR) - Itália.  Pós-doutor em Direito na UENP. Doutor em Direito Público pela USP. Mestre em Direito Civil pela Faculdade de Direito da UERJ. Bacharel em Direito pela UNESP, com intercâmbio na Universidade de Santiago de Compostela (Espanha). 

__________

1 PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva. p. 99.

2 Idem. p. 99.

3 LIMA, Cintia Rosa Pereira. Comentários à Lei Geral de Proteção de Dados. Coimbra: Almedina, 2020. p. 269.

4 Idem. p. 293.

5 ALVES, Fabrício da Mota. Estruturação do cargo de DPO em entes públicos. BLUM, Renato Opice, VAINZOF, Rony; MORAES, Henrique Fabretti. Data Protection Officer (Encarregado) -  Revista dos Tribunais, 2020.  Página RB-24.3. Disponível aqui. Acesso em: 03 dez. 2020.

 

6 FALEIROS JÚNIOR, José Luiz de Moura. Administração Pública Digital: proposições para o aperfeiçoamento do regime jurídico administrativo na sociedade da informação. Indaiatuba/SP: Foco, 2020. p. 345.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.