A Lei Geral de Proteção de Dados Pessoais - Lei 13.709, de 14 de agosto de 2018, a seguir simplesmente “LGPD”, já nasceu parcialmente vetada, notadamente na parte que tratava da Autoridade Nacional de Proteção de Dados – ANPD. No dia 28 de dezembro do mesmo ano foi editada a Medida Provisória 869, alterando então a LGPD e, dentre outros, criando a Autoridade Nacional de Proteção de Dados, naquele momento vinculada à Presidência da República.
O texto inicialmente proposto pela MP869 previa, por exemplo, a alteração do inciso VIII do artigo 5º, permitindo que o encarregado, em inglês denominado Data Protection Officer - DPO, fosse simplesmente “pessoa” indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Ou seja, abriu-se o leque de possibilidade não só para pessoas naturais, para também para que pessoas jurídicas pudessem prestar serviços de encarregado, prática corriqueira no Brasil e no mundo, inclusive reconhecida e autorizada pela ANPD1.
Durante sua tramitação em regime de urgência no Congresso Nacional, a MP869, que ocupava meia página do Diário Oficial, recebeu nada menos que 176 (cento e setenta e seis) emendas2. Recebida pelo Presidente da República, houve diversos vetos ao texto do legislativo, dando origem à lei 13.853, de 2019 que por sua vez alterou diversos artigos da LGPD quando promulgada no ano anterior.
Dentre as alterações promovidas pela lei 13.853/19, destacamos o veto ao § 4º do artigo 41, que originalmente continha a seguinte redação:
“§ 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, além do disposto neste artigo, a autoridade regulamentará:
I - os casos em que o operador deverá indicar encarregado;
II - a indicação de um único encarregado, desde que facilitado o seu acesso, por empresas ou entidades de um mesmo grupo econômico;
III - a garantia da autonomia técnica e profissional no exercício do cargo.”
Resumidamente, não fosse o veto presidencial, a LGPD exigia do encarregado 1) conhecimento jurídico-regulatório; 2) ser apto a prestar serviços especializados em proteção de dados; 3) garantia da autonomia técnica e profissional.
Os requisitos e prerrogativas do finado § 4º do artigo 41 se alinhavam às recomendações doutrinárias3 e às melhores práticas nacionais e internacionais, a exemplo do item 6.3.1.1 da norma ABNT NBR ISO/IEC 27701:2019 , onde afirma-se que o encarregado deve ser independente e ter liberdade para reportar ao nível gerencial apropriado para assegurar a efetiva gestão de riscos de privacidade. Encontra respaldo ainda no disposto no Regulamento Geral sobre a Proteção de Dados 2016/679 - GDPR - em seus artigos 38 e 39.
A própria ANPD orienta4 como boa prática a garantia de 1) liberdade encarregado na realização de suas atribuições; 2) recursos adequados para realizar suas atividades, tais como recursos humanos, prazos apropriados, finanças e infraestrutura; e por fim 3) conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.
Na mensagem 288 de 8 julho de 2019, o chefe do Executivo Federal justificou da seguinte maneira as razões de seu veto ao § 4º do artigo 41:
“O Ministério da Economia e a Controladoria-Geral da União, solicitaram ainda, veto ao dispositivo a seguir transcrito:
§ 4º do art. 41 da Lei nº 13.709, de 14 de agosto de 2018, alterado pelo art. 2º do projeto de lei de conversão.
A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.”
Sem sequer entrar no mérito sobre a polêmica fundamentação formulada pelo Ministério da Economia e a Controladoria-Geral da União, que culminou na morte do § 4º do art. 41, chamamos atenção para um ato administrativo praticado pelo mesmo órgão - Ministério da Economia – do mesmo Governo: Instrução Normativa SGD/ME 117, de 19 de novembro de 2020.
O ato Ministerial, que dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional traz as seguintes previsões em seus artigos 1º.e 3º:
Art. 1º A autoridade máxima do órgão ou da entidade da administração pública federal direta, autárquica e fundacional deverá indicar Encarregado pelo Tratamento dos Dados Pessoais, nos termos do disposto no inciso III do art. 23 e no art. 41 da Lei nº 13.709, de 14 de agosto de 2018.
§ 1º O Encarregado pelo Tratamento dos Dados Pessoais indicado:
I - deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público; e
II - não deverá se encontrar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou da entidade.
(...)
Art. 3º A autoridade máxima do órgão ou da entidade deverá assegurar ao Encarregado pelo Tratamento dos Dados Pessoais:
I - acesso direto à alta administração;
II - pronto apoio das unidades administrativas no atendimento das solicitações de informações; e
III - contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais, de acordo com os conhecimentos elencados no inciso I do § 1º do art. 1º e observada a disponibilidade orçamentária e financeira do órgão ou entidade.
Mesmo que restrita ao âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional, estarrece a constatação de que o veto presidencial foi ressuscitado pelo mesmo Ministério que pediu – e ganhou – o aniquilamento da regra da LGPD exigia do encarregado 1) conhecimento jurídico-regulatório; 2) ser apto a prestar serviços especializados em proteção de dados; 3) garantia da autonomia técnica e profissional.
E mais, a Instrução Normativa ainda foi mais eloquente, exigindo conhecimentos em gestão de riscos (art. 1º § 1º, I) algo não previsto expressamente no texto revogado. O mesmo se conclui pela exigência de acesso direto à alta administração (art. 3º, I).
Considerando que ainda nos encontramos em um primeiro movimento de amadurecimento e desenvolvimento de uma cultura de proteção de dados no país, a existência de “sinais trocados” e contradições em normas – ainda que setoriais – leva à uma desnecessária confusão no que diz respeito às qualidades requeridas ou exigíveis de um encarregado de dados. Mais um trabalho interpretativo para a ANPD.
______________
1 “A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.” Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Abril/2022. Par. 74. p. 23.
2 Disponível em https://legis.senado.leg.br/sdleg-getter/documento?dm=7915984&ts=1630433096209&disposition=inline . Acesso em 30 set. 20222
3 "É altamente recomendável que o Encarregado tenha comprovado conhecimento jurídico específico sobre proteção de dados, bem como noções sobre o funcionamento da tecnologia utilizada pelo controlador, exigência expressa na GDPR. Seria de suma importância que a ANPD regulamentasse requisitos mínimos o quanto antes, na forma do Artigo 41, § 3º da LGPD, visando evitar dúvidas e questionamentos neste sentido." GOMES, Rodrigo Dias de Pinho. Encarregado pelo tratamento de dados pessoais na LGPD. Disponível aqui . Acesso em 22/09/2022.
4 Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Abril/2022. Par. 75 e 76. p. 23.
______________
Caitlin Mulholland é professora do Departamento de Direito da PUC-Rio. Associada do IBERC. Coordenadora do Grupo de Pesquisa DROIT - Direito e Novas Tecnologias. Doutora em Direito Civil pela UERJ.
Rodrigo Dias de Pinho Gomes é professor e advogado. Doutorando e mestre em Direito Civil pela UERJ. Coordenador de Direito e Tecnologia da Escola Superior de Advocacia da OAB/RJ. Atua como consultor e DPO externo em diversas empresas.