Aspectos importantes sobre o papel do encarregado de proteção de dados pessoais (DPO) em cartórios
quinta-feira, 24 de novembro de 2022
Atualizado às 09:50
A princípio, toda e qualquer organização, independentemente do seu tamanho, deve indicar um encarregado. Isso porque, embora a LGPD preveja a possibilidade da dispensa, de acordo com a natureza e o porte ou o volume de operações de tratamento de dados, esta depende de regulamentação por parte da ANPD, que se consolidou com a RESOLUÇÃO CD/ANPD 2, de 27 de janeiro de 2022 (Regulamento de aplicação da LGPD, para agentes de tratamento de pequeno porte).
Embora a LGPD não apresente detalhes sobre o tema, a Autoridade Nacional de Proteção de Dados trouxe contribuições importantes através de um guia. Segundo a ANPD, o encarregado pode ser tanto um funcionário da empresa quanto um terceiro, inclusive uma pessoa jurídica, o importante é que o indicado possua conhecimento mínimo sobre o tema, bem como liberdade para exercer as suas atribuições.
Na prática, considerando o custo de contratar uma pessoa para desempenhar exclusivamente o papel de encarregado, o que tem sido visto é a indicação de um colaborador que passa, então, a acumular funções na organização. Ocorre que, apesar de ser algo comum no mundo real, esse acúmulo pode não ser recomendável.
O problema é que, com frequência, verifica-se a existência de um claro conflito de interesses entre as funções desempenhadas pelo colaborador que acumula a função do encarregado. O tal do conflito acontece quando a mesma pessoa que executa as atividades é responsável por fiscalizá-las, o que acaba por implicar em uma "autoavaliação" sobre a incompatibilidade ou não.
Aqui, vale um exemplo clássico para ilustrar: se o responsável pelo setor de TI possui a função de definir e implementar as soluções tecnológicas aplicáveis ao tratamento de dados pessoais, este não poderá ser nomeado como encarregado, tendo em vista que, se assim fosse, ele estaria fiscalizando o seu próprio trabalho, o que, nem de longe, parece ser uma análise imparcial.
O Perfil desejado para o Encarregado de Proteção de Dados Pessoais (DPO) é o de um profissional híbrido que independentemente de sua origem precisará expandir seu conhecimento para outra área. Essa necessidade é o motivo para uma certificação tão completa como DPO, que envolve segurança da informação, legislação e estabelecimento de um sistema de gestão para garantir que a privacidade e proteção de dados seja parte do cotidiano da instituição, e não apenas um projeto.
De toda forma, como não há exigências para se tornar um Encarregado (DPO), espera-se do profissional conhecimentos jurídicos a respeito da legislação de proteção de dados, não se limitando apenas à LGPD, mas também conhecimentos sobre segurança de informação.
Além disso, é importante que o Encarregado também tenha conhecimentos de governança e boa capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área jurídica, Tecnológica (TI), Financeiro, Marketing, Comercial e Recursos Humanos.
Para que a LGPD seja cumprida de forma correta, é necessário que o Encarregado seja o principal ponto de apoio do Controlador.
Mesmo que ainda não tenha sido avaliado na prática no Brasil como vai funcionar a figura do DPO, já é possível concluir que será uma peça-chave para a adequação da empresa à legislação e para as atividades relacionadas ao tratamento de dados pessoais de seus clientes, funcionários e fornecedores.
Na definição do artigo 5º, inciso VIII, da LGPD, o encarregado é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)".
Em outras palavras, um DPO não pode ocupar uma posição em uma organização na qual tenha "autoridade para decidir os fins para os quais os dados pessoais são processados e os meios pelos quais eles são processados". Em geral, posições conflitantes estão relacionadas aos cargos de chefia, gerência ou direção. No caso dos cartórios, esta posição de autoridade recai sobre os titulares e seus substitutos.
Na prática, portanto, a designação do encarregado vem se revelando uma verdadeira dificuldade para as instituições, sejam elas públicas ou privadas, mais ainda nas atividades notarial e de registro.
E, embora a LGPD não mencione expressamente a questão do conflito de interesses, é bem provável que a ANPD se ocupe com o tema e defina normas complementares sobre o encarregado (artigo 42, §3º), tendo em vista que, já no Guia de Agentes de Tratamento e Encarregados, a autoridade se preocupou em citar a importância da sua independência.
Em síntese, mesmo que ainda não haja um posicionamento oficial da ANPD ou do CNJ, desde já é importante que os controladores tenham cautela ao indicar o seu encarregado, ponderando não somente o custo, mas a real efetividade e imparcialidade daquele que for designado para a função, considerando a relevância de distinguir aquele que define aspectos do tratamento dos dados daquele que monitora a conformidade com as boas práticas que derivam das disposições da LGPD.
Conforme dispõe o art. 4º do Provimento 134/22 e na inteligência do art. 5º, VI, da LGPD, os delegatários, interventores ou interinos, são controladores no exercício da atividade típica registral ou notarial, aos quais competem as decisões referentes ao tratamento de dados pessoais. Apesar disso, não estão sozinhos na jornada de adequação do cartório, contando com a ajuda do encarregado pelo tratamento de dados. Essa figura foi instituída pela LGPD, sendo responsável por atuar não só como canal de comunicação entre o agente delegado, titulares dos dados e autoridades, como também na liderança da implementação de medidas rumo à conformidade à lei 13.709/18.
O Provimento determina a nomeação de um encarregado (art. 10), uma vez que sua indicação pelo controlador, em regra, é obrigatória. Não obstante a existência de serventias extrajudiciais dos mais variados portes e com diferentes volumes de dados pessoais tratados, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não estabeleceu um regramento para dispensa de indicação do encarregado pelos delegatários.
O Encarregado poderá ser um funcionário ou colaborador do quadro interno da Serventia Notarial, figura reconhecida como preposto do titular do Cartório, mas poderá ainda ser nomeado um terceiro contratado para esse fim, neste caso, um consultor, pessoa jurídica ou profissional liberal.
Para os Prepostos (substitutos, escreventes e auxiliares), nomeados na forma do disposto no art. 20 da lei 8.935/1994, não há impedimentos dos escreventes e auxiliares serem nomeados com Encarregados, mas há impedimento na nomeação dos substitutos como Encarregados, pela vedação expressa do art.10, inciso II, do Provimento 134/22 do CNJ.
Em nosso entendimento, ainda não há disposição legal ou normativa que indique o conflito de interesse entre os prepostos de Cartório com a atividade de DPO, desde que mantida sua autonomia e imparcialidade por "autoavaliação", o que não se aplica aos substitutos que recebem atributos idênticos da delegação do titular de Cartório (art. 10, inciso II, do Provimento 134/22 do CNJ).
O Provimento 134/22 do CNJ permite que as serventias poderão designar um encarregado de maneira conjunta, bem como terceirizar o exercício da função mediante contratação de um prestador de serviços ("Encarregado Externo" ou "DPO as a service"), seja pessoa física ou jurídica. Adicionalmente, o Provimento prevê que os cartórios poderão ter a remuneração do encarregado subsidiada ou custeada pelas entidades representativas de classe (ANOREGs, SINOREGs, etc).
Importante pontuar que não há óbice para contratação de um mesmo encarregado por cartórios de qualquer classe, conforme assegura o art. 10, § 3º, desde que demonstrável a inexistência de conflito na cumulação de funções e na manutenção da qualidade dos serviços prestados.
As regras sobre Encarregado no Provimento 134/22 do CNJ, constam do artigo 10:
"DO ENCARREGADO
Art. 10. Deverá ser designado o encarregado pelo tratamento de dados pessoais, conforme o disposto no art. 41 da LGPD, consideradas as seguintes particularidades:
I - os responsáveis pelas Serventias Extrajudiciais poderão terceirizar o exercício da função de Encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que apto ao exercício da função;
II - a função do Encarregado não se confunde com a do responsável pela delegação dos serviços extrajudiciais de notas e de registro;
III - a nomeação do Encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador na qualidade de responsável pela nomeação e o Encarregado; e
IV - a nomeação de Encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro, quando for solicitado pelo titular dos dados pessoais.
§ 1º Serventias classificadas como "Classe I" e "Classe II" pelo Provimento n. 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça, poderão designar Encarregado de maneira conjunta.
§ 2º A nomeação e contratação do Encarregado de Proteção de Dados Pessoais pelas Serventias será de livre escolha do titular da Serventias, podendo, eventualmente, ser realizada de forma conjunta, ou ser subsidiado ou custeado pelas entidades de classe.
§ 3º Não há óbice para a contratação independente de um mesmo Encarregado por serventias de qualquer Classe, desde que demonstrável a inexistência de conflito na cumulação de funções e a manutenção da qualidade dos serviços prestados."
Sobre esse tema, também há recomendações no Guia Orientativo para definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, neste caso algumas informações deverão ser aplicadas para uma boa governança, como a constante no Item 75. "Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização."
Conforme o artigo 41 da LGPD, o controlador de dados (titular do Cartório) deverá indicar um encarregado pelo tratamento de dados pessoais. No exercício de suas atribuições, o encarregado pode desempenhar um importante papel de fomentar e disseminar a cultura da proteção de dados pessoais na organização, como, por exemplo, ao receber solicitações de titulares e da autoridade nacional e adotar providências ou, ainda, ao orientar funcionários e contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
Em síntese, mesmo que ainda não haja um posicionamento oficial da ANPD, desde já é importante que os controladores, titulares de Cartório, tenham cautela ao indicar o seu encarregado, ponderando não somente o custo, mas a real efetividade e imparcialidade daquele que for designado para a função, considerando a relevância de distinguir aquele que define aspectos do tratamento dos dados daquele que monitora a conformidade com as boas práticas que derivam das disposições da LGPD.
___________
ALBUQUERQUE, Izabel. É possível cumular as funções de Compliance Officer e de Data Protection Officer (DPO)? 2021. Disponível em: https://www.nextlawacademy.com.br/blog/e-possivel-cumular-as-funcoes-de-compliance-officer-e-de-data-protection-officer-dpo. Acesso em 30 de out. de 2022.
ANPD. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. 2021. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf. Acesso em 30 de out. de 2022.
CONSELHO FEDERAL DO COLÉGIO NOTARIAL DO BRASIL. Cartilha Orientativa sobre a Lei Geral de Proteção de Dados (LGPD) - Lei Federal nº 13.709/2018. Disponível em: ttps://www.notariado.org.br/wp-content/uploads/2021/06/CNB_CF-Cartilha-LGPD.pdf. Acesso em 30 de out. de 2022.
TEIXEIRA, Tarcísio et al. (org.). LGPD e cartórios: implementação e questões práticas. São Paulo: Saraiva, 2021
ROCHA, William Lima. Tratamento de dados pessoais pelo poder público: uma análise da aplicação da LGPD no registro empresarial. Revista Brasileira de Direito Societário e Registro Empresarial, v. 1, p. 191-224, 2020.
LGPD no setor Público Tratamento de dados pelo poder púbico. Apresentação. 13 de set. de 2022. Disponível em: https://youtu.be/t3kCP1Djs7M
Os impactos da LGPD nos Serviços Notariais e de Registro. Apresentação. 15 de dez. de 2020 Disponível em: https://youtu.be/sjaqJDz4xy4