Migalhas de IA e Proteção de Dados

Veto ao próprio veto: notas sobre os requisitos formativos do encarregado na LGPD

Considerando que ainda nos encontramos em um primeiro movimento de amadurecimento e desenvolvimento de uma cultura de proteção de dados no país, a existência de “sinais trocados” e contradições em normas – ainda que setoriais – leva à uma desnecessária confusão no que diz respeito às qualidades requeridas ou exigíveis de um encarregado de dados.

21/10/2022

A Lei Geral de Proteção de Dados Pessoais - Lei 13.709, de 14 de agosto de 2018, a seguir simplesmente “LGPD”, já nasceu parcialmente vetada, notadamente na parte que tratava da Autoridade Nacional de Proteção de Dados – ANPD. No dia 28 de dezembro do mesmo ano foi editada a Medida Provisória 869, alterando então a LGPD e, dentre outros, criando a Autoridade Nacional de Proteção de Dados, naquele momento vinculada à Presidência da República.

O texto inicialmente proposto pela MP869 previa, por exemplo, a  alteração do inciso VIII do artigo 5º, permitindo que o  encarregado, em inglês denominado Data Protection Officer - DPO, fosse simplesmente “pessoa” indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Ou seja, abriu-se o leque de possibilidade não só para pessoas naturais, para também para que pessoas jurídicas pudessem prestar serviços de encarregado, prática corriqueira no Brasil e no mundo, inclusive reconhecida e autorizada pela ANPD1.

Durante sua tramitação em regime de urgência no Congresso Nacional, a MP869, que ocupava meia página do Diário Oficial, recebeu nada menos que 176 (cento e setenta e seis) emendas2. Recebida pelo Presidente da República, houve diversos vetos ao texto do legislativo, dando origem à lei 13.853, de 2019 que por sua vez alterou diversos artigos da LGPD quando promulgada no ano anterior.

Dentre as alterações promovidas pela lei 13.853/19, destacamos o veto ao § 4º do artigo 41, que originalmente continha a seguinte redação:

“§ 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, além do disposto neste artigo, a autoridade regulamentará:

I - os casos em que o operador deverá indicar encarregado;

II - a indicação de um único encarregado, desde que facilitado o seu acesso, por empresas ou entidades de um mesmo grupo econômico;

III - a garantia da autonomia técnica e profissional no exercício do cargo.”

Resumidamente, não fosse o veto presidencial, a LGPD exigia do encarregado 1) conhecimento jurídico-regulatório; 2) ser apto a prestar serviços especializados em proteção de dados; 3) garantia da autonomia técnica e profissional.

Os requisitos e prerrogativas do finado § 4º do artigo 41 se alinhavam às recomendações doutrinárias3 e às melhores práticas nacionais e internacionais, a exemplo do item 6.3.1.1 da norma ABNT NBR ISO/IEC 27701:2019 , onde afirma-se que o encarregado deve ser independente e ter liberdade para reportar ao nível gerencial apropriado para assegurar a efetiva gestão de riscos de privacidade. Encontra respaldo ainda no disposto no Regulamento Geral sobre a Proteção de Dados 2016/679 - GDPR -  em seus artigos 38 e 39.

A própria ANPD orienta4 como boa prática  a garantia de 1) liberdade encarregado na realização de suas atribuições; 2) recursos adequados para realizar suas atividades, tais como recursos humanos, prazos apropriados, finanças e infraestrutura; e por fim 3) conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.

Na mensagem 288 de 8 julho de 2019, o chefe do Executivo Federal justificou da seguinte maneira as razões de seu veto ao § 4º do artigo 41:

“O Ministério da Economia e a Controladoria-Geral da União, solicitaram  ainda, veto ao dispositivo a seguir transcrito:

§ 4º do art. 41 da Lei nº 13.709, de 14 de agosto de 2018, alterado pelo art. 2º do projeto de lei de conversão.

A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.”

Sem sequer entrar no mérito sobre a polêmica fundamentação formulada pelo Ministério da Economia e a Controladoria-Geral da União, que culminou na morte do § 4º do art. 41, chamamos atenção para um ato administrativo praticado pelo mesmo órgão - Ministério da Economia – do mesmo Governo: Instrução Normativa SGD/ME 117, de 19 de novembro de 2020.

O ato Ministerial, que dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional traz as seguintes previsões em seus artigos 1º.e 3º:

Art. 1º A autoridade máxima do órgão ou da entidade da administração pública federal direta, autárquica e fundacional deverá indicar Encarregado pelo Tratamento dos Dados Pessoais, nos termos do disposto no inciso III do art. 23 e no art. 41 da Lei nº 13.709, de 14 de agosto de 2018.

§ 1º O Encarregado pelo Tratamento dos Dados Pessoais indicado:

I - deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público; e

II - não deverá se encontrar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou da entidade.

(...)

Art. 3º A autoridade máxima do órgão ou da entidade deverá assegurar ao Encarregado pelo Tratamento dos Dados Pessoais:

I - acesso direto à alta administração;

II - pronto apoio das unidades administrativas no atendimento das solicitações de informações; e

III - contínuo aperfeiçoamento relacionado aos temas de privacidade e proteção de dados pessoais, de acordo com os conhecimentos elencados no inciso I do § 1º do art. 1º e observada a disponibilidade orçamentária e financeira do órgão ou entidade.

Mesmo que restrita ao âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional, estarrece a constatação de que o veto presidencial foi ressuscitado pelo mesmo Ministério que pediu – e ganhou – o aniquilamento da regra da LGPD exigia do encarregado 1) conhecimento jurídico-regulatório; 2) ser apto a prestar serviços especializados em proteção de dados; 3) garantia da autonomia técnica e profissional.

E mais, a Instrução Normativa ainda foi mais eloquente, exigindo conhecimentos em gestão de riscos (art. 1º § 1º, I) algo não previsto expressamente no texto revogado. O mesmo se conclui pela exigência de acesso direto à alta administração (art. 3º, I).

Considerando que ainda nos encontramos em um primeiro movimento de amadurecimento e desenvolvimento de uma cultura de proteção de dados no país, a existência de “sinais trocados” e contradições em normas – ainda que setoriais – leva à uma desnecessária confusão no que diz respeito às qualidades requeridas ou exigíveis de um encarregado de dados. Mais um trabalho interpretativo para a ANPD. 

______________ 

“A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.” Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.  Abril/2022. Par. 74. p. 23.

2 Disponível em https://legis.senado.leg.br/sdleg-getter/documento?dm=7915984&ts=1630433096209&disposition=inline . Acesso em 30 set. 20222

3 "É altamente recomendável que o Encarregado tenha comprovado conhecimento jurídico específico sobre proteção de dados, bem como noções sobre o funcionamento da tecnologia utilizada pelo controlador, exigência expressa na GDPR. Seria de suma importância que a ANPD regulamentasse requisitos mínimos o quanto antes, na forma do Artigo 41, § 3º da LGPD, visando evitar dúvidas e questionamentos neste sentido." GOMES, Rodrigo Dias de Pinho. Encarregado pelo tratamento de dados pessoais na LGPD. Disponível aqui . Acesso em 22/09/2022.

4 Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.  Abril/2022. Par. 75 e 76. p. 23.

______________ 

Caitlin Mulholland é professora do Departamento de Direito da PUC-Rio. Associada do IBERC. Coordenadora do Grupo de Pesquisa DROIT - Direito e Novas Tecnologias. Doutora em Direito Civil pela UERJ.

Rodrigo Dias de Pinho Gomes é professor e advogado. Doutorando e mestre em Direito Civil pela UERJ. Coordenador de Direito e Tecnologia da Escola Superior de Advocacia da OAB/RJ. Atua como consultor e DPO externo em diversas empresas. 

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.