É notório que a Lei Geral de Proteção de dados – lei 13.709/18 (LGPD) – se aplica tanto ao setor privado, quanto ao setor público. Contudo, a LGPD não é a primeira e única legislação a tratar da proteção de dados pessoais. Silva (2020) argumenta que “já havia leis que abrangiam os temas tratados na LGPD; no entanto, a lei veio para consolidar um microssistema de tratamento desses dados: quem, como, quando, onde, porque, com que fim podem ser usados esses dados.” E o impacto no setor público é grande, uma vez que uma “enorme quantidade de dados pessoais e dados sensíveis estão sob domínio do Poder Público, como informações financeiras e fiscais (Imposto de Renda), de educação (histórico escolar), de saúde (prontuário médico), de consumo (Nota Fiscal Paulista), entre inúmeras outras” e que, por anos, a “Administração Pública coletou dados de maneira indiscriminada e sem se preocupar com a finalidade, segurança ou privacidade das informações” (BARBOSA; OLIVEIRA, 2020). Em todo esse contexto, a LGDP define a figura do encarregado pelo Tratamento de dados Pessoais, função similar ao Data Protection Officer – DPO, definido pela legislação europeia.
Contudo, a legislação brasileira não define critérios claros de obrigatoriedade da existência do encarregado nas empresas ou instituições públicas, diferentemente da lei europeia1. Silva (2020) destaca que “a lei atribui a responsabilidade ao controlador e ao operador, mas não ao encarregado. Isso porque, em algumas hipóteses, pode não haver a figura do encarregado”. A definição de critérios de obrigatoriedade ficaria a cargo da Agência Nacional de Proteção de dados – ANPD, conforme § 3º do artigo 412.
1. Responsabilidades do encarregado de dados
O § 2º do artigo 41 da LGPD define, de forma não exaustiva, as principais responsabilidades do encarregado de dados3. Contudo, Bruno (2019) relaciona as principais responsabilidades, de forma mais detalhada:
a) Interagir com os titulares dos dados pessoais, inclusive prestando esclarecimentos, e adotando providências necessárias em razão desses contatos ou reclamações dos titulares;
b) Interagir com a ANPD, sendo inclusive o ponto de contato para recebimento das comunicações da Autoridade, e responsável por adotar as providências requeridas;
c) Orientar os colaboradores da entidade a respeito das práticas relacionadas à proteção de dados pessoais;
d) Executar todas as atribuições determinadas em normas complementares, da ANPD ou outros órgãos;
e) Assessorar os responsáveis pelo tratamento de dados pessoais na emissão de relatórios de impacto à proteção de dados pessoais, emitindo opiniões e pareceres que possam embasar tais relatórios;
f) Monitorar a conformidade das atividades de tratamento de dados pessoais com a regulamentação e as normas vigentes;
g) Cooperar com a ANPD, sempre que demandado;
h) Recomendar a realização de relatórios de impacto à proteção de dados pessoais, ou não, inclusive sobre a metodologia de sua realização;
i) Recomendar as salvaguardas para mitigar quaisquer riscos aos direitos dos titulares de dados pessoais tratados pela empresa, inclusive salvaguardas técnicas e medidas organizacionais;
j) Decidir sobre a adequação dos relatórios de impacto à proteção de dados, e se as conclusões estão de acordo com a regulamentação, ou não.
Podemos notar que as responsabilidades de um encarregado permeiam várias áreas do conhecimento, como de legislação, privacidade e proteção de dados, tecnologia da informação, segurança da informação, metodologias de análise de risco e governança, administração e atendimento às demandas internas e externas. A designação do encarregado pelas instituições deve ser baseada nas qualidades profissionais do indicado, especialmente conhecimento sobre privacidade e proteção de dados. Quanto mais complexas forem as atividades de tratamento de dados realizadas pela instituição, maior deverá ser o nível de conhecimento técnico do encarregado (BRUNO, 2019).
Opice Blum (2020) argumenta que o encarregado pode ser responsável por cumprir o princípio da responsabilização e prestação de contas, previsto no art. 6º, inciso X4, da LGPD, gerando evidências de conformidade, como relatórios de impacto à proteção de dados, geração de indicadores, registro das atividades de tratamento, atas de reunião do Comitê de Privacidade, dentre outras.
2. Perfil e competências de um encarregado de dados
Embora a LGPD não defina claramente a obrigatoriedade da existência de um encarregado de dados, algumas instituições da Administração Pública têm se adiantado nomeando seus encarregados, de forma voluntária. Há também normas infralegais que tratam do assunto, como a Instrução Normativa SGD/ME 117 do Ministério da Economia. Tal Instrução estipulou prazo e perfil para que os órgãos e entidades da administração pública federal direta, autárquica e fundacional definam seus encarregados (MINISTÉRIO DA ECONOMIA, 2020). A Instrução define os conhecimentos técnicos necessários para exercer o papel de encarregado: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público. O prazo definido na Instrução para que o encarregado seja indicado e tenha seu nome divulgado nos sites institucionais é de 30 dias contados de sua vigência.
O Tribunal de Contas da União, por sua vez, atribuiu à Ouvidoria a responsabilidade pelo papel de encarregado de dados. Tal atribuição foi feita por meio da portaria-TCU 142, de 25 de setembro de 2020, com base em relatório do Grupo de Trabalho que foi constituído para avaliar o impacto da LGPD naquela corte de contas (Tribunal de Contas da União, 2020). Tal decisão reforça a definição de que o encarregado seria um canal interativo entre os atores afetados pela LGPD (SILVA, 2020) e que a Ouvidoria já faz tal papel em relação a outras legislações que tratam de dados, como a Lei de Acesso à Informação.
3. Conflito de interesse
O encarregado pode ser um colaborador da instituição ou um terceiro contratado, inclusive, uma empresa. No entanto, é importante evitar o conflito de interesses das atribuições do encarregado com outras funções que ele eventualmente exerça na instituição. Uma das atribuições do encarregado é verificar se as atividades de tratamento de dados executadas pela instituição estão de acordo com o previsto na LGPD. Assim, se o encarregado é responsável pelo tratamento de dados em sua instituição, sua atividade de monitoramento da conformidade gera um conflito de interesse, podendo fazer com que a instituição não atenda plenamente à legislação. Por exemplo, se o encarregado de dados for o mesmo colaborador responsável por definir e especificar soluções de TI para a empresa haverá conflito, pois ele deverá fiscalizar a si mesmo à luz da LGPD. Assim, o princípio da segregação de funções deve ser observado para evitar conflitos de interesses na designação do encarregado de dados, de forma que ele não acumule posições na instituição que o “leve a determinar os propósitos e meios relacionados ao tratamento de dados pessoais” (BRUNO, 2019).
Nesse sentido, a Instrução Normativa SGD/ME 117 (MINISTÉRIO DA ECONOMIA, 2020) veda expressamente que o encarregado seja lotado nas áreas de Tecnologia da Informação ou mesmo que seja gestor responsável por sistemas da instituição.
Outro ponto que merece destaque é a posição da função de encarregado de dados dentre da estrutura organizacional da empresa. Bruno (2019) defende que o cargo deve ser desvinculado das áreas tradicionais da empresa, com reporte direto à Diretoria e Presidência, com todos os recursos necessários à execução de suas atividades. A instrução normativa 117 define que o encarregado deve ter acesso direto à Alta Administração5 da instituição.
Fato é que o encarregado de dados deve ter uma função relevante no âmbito das instituições, especialmente no árduo caminho de adequação à LGPD. Justamente por isso, ele deve ter autonomia, independência, bom nível de conhecimento das matérias envolvidas no tema e acesso direto à cúpula da instituição.
4. Considerações Finais
Há diversas ações que podem (e devem) ser tomadas pela Administração Pública para, desde logo, caminhar para a conformidade com a LGPD. A indicação de um encarregado, mesmo antes da definição de critérios de obrigatoriedade pela ANPD, é uma dessas ações. Importante é que o encarregado tenha autonomia, acesso à alta administração, independência e todos os recursos necessários para executar suas funções de forma plena. Além disso, conforme § 1º do artigo 41 da LGPD, a identidade e informações de contato do encarregado devem ser publicadas no sítio eletrônico do controlador, para que ele possa ser facilmente encontrado, tanto pela ANPD, quanto pelos titulares dos dados e demais interessados.
A LGPD veio para ficar e todos, sociedade e governo, serão beneficiados em relação à privacidade e proteção dos dados pessoais.
_________
1 Segundo Bruno (2019), a regulamentação europeia (GDPR) traz critérios objetivos que obrigam a nomeação do DPO, sendo eles:
(a) Tratamento efetuado por autoridade ou organismo público, excetuando tribunais no exercício de sua função jurisdicional;
(b) Atividade principal que importe em tratamento de dados pessoais com controle regular e sistemático dos titulares de dados em grande escala; e
(c) Atividade principal que importe em tratamento de dados sensíveis, especificamente de origem racial ou étnica, opinião política, convicção religiosa ou filosófica, filiação sindical, bem como dados genéticos, biométricos, e dados relativos à saúde, à vida sexual, ou orientação sexual, ou dados pessoais relativos a condenações penais e infrações.
2 § 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
3 § 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
4 X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
5 Alta Administração é definida no Parágrafo único do Art. 3º:
“Parágrafo único: Para fins do inciso I do caput do art. 3º, considera-se como alta administração os Ministros de Estado, ocupantes de cargos de natureza especial, os ocupantes de cargo de nível 6 do Grupo-Direção e Assessoramento Superiores - DAS e os presidentes e diretores de autarquias, inclusive as especiais, e de fundações públicas ou as autoridades de hierarquia equivalente.”
_________
BARBOSA, Daniela B.; OLIVEIRA, Victor F. LGPD: a necessidade de proteção dos dados do setor público. O Estadão. São Paulo. 12 set. 2020. Disponível clicando aqui. Acesso em: 25 dez. 2020.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de dados Pessoais (LGPD). Disponível clicando aqui. Acesso em: 25 dez. 2020.
BRUNO, M.G.S.. Dos Agentes de Tratamento de dados Pessoais. IN: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coordenadores.). LGPD: Lei Geral de Proteção de dados Comentada. São Paulo: Thomson Reuters Brasil, 2019, p. 215-244.
MINISTÉRIO DA ECONOMIA. Instrução Normativa SGD/ME nº 117, de 19 de novembro de 2020. Dispõe sobre a indicação do encarregado pelo Tratamento dos dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional. Brasília, 20 nov. 2020. n. 222, Seção 1, p. 92-92. Disponível clicando aqui. Acesso em: 25 dez. 2020.
OPICE BLUM (São Paulo). Melhores práticas de Governança e Conformidade com a LGPD. 2020. Disponível clicando aqui. Acesso em: 25 dez. 2020.
SILVA, Andressa Carvalho da. Lei Geral de Proteção de dados e a Responsabilidade Estatal: implicações no âmbito dos tribunais de contas. 2020. 73 f. Monografia (Especialização) - Curso de Direito Público, Universidade de Caxias do Sul, Porto Alegre, 2020.
TRIBUNAL DE CONTAS DA UNIÃO. Portaria-TCU nº 142, de 25 de setembro de 2020. Atribui à Ouvidoria o exercício das atividades de encarregado pelo tratamento de dados pessoais, em observância ao disposto na Lei Geral de Proteção de dados. Brasília, 28 set. 2020. Ano 53, n. 184, p. 1-1. Acesso em: 25 dez. 2020.