Migalhas de IA e Proteção de Dados

A figura do encarregado pelo tratamento de dados pessoais na LGPD

Uma análise importante sobre o conceito, as características, a obrigatoriedade de nomeação, os impedimentos e cautelas ligados à figura do encarregado pela proteção de dados pessoais.

29/4/2022

A figura do encarregado pelo tratamento de dados (também conhecido como DPO) tem gerado diversas controvérsias e debates no cenário brasileiro. Uma das amostras mais recentes da relevância do tema foi a abertura de inscrições para tomada de subsídios sobre a norma do encarregado, feita pela Autoridade Nacional de Proteção de Dados ("ANPD") em 18/03/20221.

O objetivo deste pequeno ensaio é analisar o conceito, as características, a obrigatoriedade de nomeação, os impedimentos e cautelas ligados ao cargo, o que se fará por meio de análise da legislação e regulação específicas no Brasil, com observação da experiência europeia para aclarar pontos ainda nebulosos no âmbito nacional.

Na LGPD, encarregado é definido como a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)"2.

Inicialmente, é possível concluir que o encarregado pode ser pessoa natural ou jurídica, apesar da lei haver se limitado ao termo "pessoa". Tal afirmação ocorre por diversos motivos: quando promulgada, em 14/08/2018, a LGPD previa o conceito de encarregado como a pessoa natural indicada pelo controlador, mas o texto foi alterado, antes de sua entrada em vigor, pela lei 13.853/2019, que suprimiu o termo “natural” e manteve apenas a expressão "pessoa", passando a abarcar tanto a pessoa jurídica quanto a pessoa natural. Além disso, o Guia Orientativo expedido pela ANPD3 prevê que o encarregado pode ser pessoa natural ou jurídica, entendimento que vem sendo adotado pelas melhores práticas internacionais, inclusive pela Europa, onde diversos controladores têm contratado empresas e escritórios para atuação como DPO as a service. No Brasil, ainda, a OAB expediu parecer recente em que admite sociedades de advogados como encarregadas4.

Outro aspecto relevante é o fato de a LGPD prever a obrigatoriedade de nomeação de encarregado pelo tratamento de dados, o que deve ser feito por todo controlador, ressalvados os casos em que a ANPD estabeleça dispensa5, como aquela feita recentemente para os agentes de tratamento de pequeno porte6.

Neste sentido, estão dispensados da nomeação de encarregado pela proteção de dados pessoais apenas microempresas, empresas de pequeno porte, startups, entidades sem fins lucrativos, pessoas naturais e entes despersonalizados, desde que preencham os demais requisitos trazidos na Resolução, quais sejam:

1) Não realizar tratamento de alto risco, que é o tratamento em larga escala ou que possa afetar significativamente direitos e liberdades e que, simultaneamente, utilize tecnologia inovadora ou emergente, realize vigilância ou controle de zonas acessíveis ao público, tome decisões unicamente com base em tratamento automatizado ou realize tratamento de dados sensíveis ou de crianças, adolescentes e idosos;

2) Não auferir e não pertencer a grupo econômico que tenha auferido receita bruta superior a R$ 4.800.000,00 ou, se startup, de R$ 16.000.000,00;

Todas as demais organizações que realizem tratamento de dados pessoais permanecem obrigadas a nomear encarregado pelo tratamento de dados pessoais, o que inclui, portanto, não apenas grandes empresas, mas também as microempresas, empresas de pequeno porte e startups que não atendam os critérios mencionados.

Mesmo nas hipóteses de dispensa, a resolução admite que a indicação será considerada uma boa prática, apta a reduzir sanções e responsabilidades e que, em qualquer caso, o controlador permanecerá obrigado a indicar um canal de comunicação com o titular.

Tal determinação está em consonância com as atividades do encarregado, que podem ser divididas em dois grandes grupos: comunicação e manutenção do programa de compliance.

No tocante à comunicação, o encarregado é o principal responsável pelas atividades de comunicação interna (com as áreas e demais colaboradores) e externa (com os titulares, a ANPD, os prestadores de serviços, parceiros e demais stakeholders), razão pela qual é fundamental a disponibilização do contato e identificação do encarregado. Outra importante função é a construção e manutenção da cultura de privacidade e proteção de dados, levando consciência da relevância do tema e da necessidade de envolver todas as pessoas na criação de serviços, produtos e procedimento que nasçam em adequação à legislação vigente. Sob a ótica da manutenção do compliance, é possível mencionar o desenvolvimento e gestão dos programas de governança, a estruturação de processos, a atualização de manuais e políticas, além do acompanhamento e definição de medidas de segurança, inclusive com aplicação de medidas disciplinares que estejam previstas em manuais e políticas7.

Por todo exposto, é necessário que haja autonomia da figura do encarregado, que não deve se submeter a outras áreas. Isso é necessário para a integração com todos os departamentos da empresa, para a independência na adequação de procedimentos e para propositura de medidas de conformidade para todas as operações de tratamento de dados pessoais, independentemente do grau hierárquico do integrante da organização que as realize.

Garantida a autonomia, é possível que o encarregado seja um colaborador da própria organização ou um agente externo, que atue como DPO as a service, seja pessoa natural ou jurídica. Ademais, inexistem pré-requisitos legais para o exercício da função, mas algumas medidas devem ser observadas, tais como:

a) Possibilidade de conflito de interesse:

No caso de encarregado interno, o GDPR determina que o controlador evite a nomeação de pessoas que possam gerar conflito de interesses entre o cargo de DPO e a função que exerça8, tais como colaboradores que atuem na área de TI ou RH ou qualquer membro que ocupe alto nível hierárquico, ocasiões em que necessitaria supervisionar a si mesmo.

O Article 29 Data Protection Working Party sugere, de maneira mais ampla, que não devem ser nomeados colaboradores que tomem decisões relevantes acerca de tratamento de dados pessoais, pessoas que atuem como CEO, COO, CFO, CMO, head de áreas ou, ainda, qualquer colaborador que realize tratamento de dados pessoais em larga escala.

Tal recomendação é relevante e a inobservância tem rendido sanções administrativas na Europa. A autoridade de proteção de dados belga aplicou multa de 50.000 € (50 mil euros), cumulada com o prazo de 3 (três) meses para solução do conflito, a uma companhia que nomeou o Chefe do Departamento de Compliance, Gestão de Riscos e Auditoria como DPO.

Já a autoridade de proteção de dados de Luxemburgo advertiu determinada companhia acerca da incompatibilidade entre a função de DPO e de Head de Compliance e Prevenção à Lavagem de Dinheiro. Por haver corrigido o erro de maneira tempestiva, não houve imposição de multa.

Portanto, ao nomear encarregado interno, o controlador deve observar a compatibilidade entre o cargo e as atividades já desenvolvidas pelo controlador.

b) Conhecimento técnico ou jurídico:

No Brasil, inexiste norma prevendo qualificação técnica ou jurídica para o exercício da atividade de encarregado pelo tratamento de dados pessoais, tampouco há exigência de certificações.

Contudo, o exercício da função de encarregado requer conhecimento sobre as normas de privacidade e proteção de dados pessoais, bem como noções sobre mapeamento de operações, gestão de riscos contratuais, elaborações de políticas, comunicação com titulares de dados pessoais e atuação em eventuais procedimentos administrativos ou judiciais. Além disso, é importante a noção da parte técnica, ligada a segurança da informação, mapeamento de sistemas e identificação de riscos.

Por isso, tem sido comum a contratação de consultorias jurídicas ou técnicas para aprimoramento da gestão de programas de proteção de dados e da comunicação com agentes externos.

__________

1 BRASIL. Autoridade Nacional de Proteção de Dados. Abertas inscrições para tomada de subsídios sobre a norma do encarregado. Disponível aqui. Acesso em 22/03/2022.

2 Art. 5º, inciso VIII da LGPD.

3 BRASIL. Autoridade Nacional de Proteção de Dados. Guia orientativo para definições dos agentes de tratamento de dados pessoais e encarregado. Disponível aqui, p. 22, ponto 71. Acesso em 22/03/2022.

4 OAB/SP. Processo E-5.537/2021. EXERCÍCIO PROFISSIONAL – LGPD E ADVOCACIA – ENCARREGADO DE DADOS – INCOMPATIBILIDADE OU IMPEDIMENTOS – POSSIBILIDADE DE ATUAÇÃO – OBSERVAÇÃO DE CAUTELA QUANTO À PUBLICIDADE – CAPTAÇÃO INDEVIDA DE CLIENTELA – DEVER DE SIGILO. Disponível aqui. Acesso em 24/03/2022.

5 Art. 41 da LGPD.

6 Art. 11 da Resolução CD/ANPD nº 2/2022.

7 KREMER, Bianca; PALMEIRA, Mariana. A compreensão do encarregado: diferentes perfis, requisitos e qualificações. In: FRAZÃO, Ana; CUEVA, Ricardo Villas Bôas (coords.). Compliance e Políticas de Proteção de Dados. Thomson Reuters Brasil: São Paulo, 2021, pp. 623-663.

8 Key Issue "Data Protection Officer" do GDPR. Disponível aqui.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.