O encarregado pelo tratamento de dados pessoais: desafios para a implementação dos Data Protection Officers no setor público
sexta-feira, 4 de dezembro de 2020
Atualizado às 08:15
O encarregado de dados é uma das principais figuras do sistema brasileiro de proteção de dados pessoais. A própria lei o define como "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados" (Art. 5º, VIII, LGPD).
Conforme leciona Patrícia Peck Pinheiro, busca-se com a determinação do art. 41 "garantir que as informações fiquem centralizadas e que o controlador se certifique de que a aplicação das normas receberá efetiva validação. Esse encarregado deve ser pessoa natural, mas pode ser uma pessoa contratada de equipe própria ou terceirizada."1
Em uma leitura menos detida, a figura do encarregado no Brasil assemelhar-se-ia ao que é conhecido no Regulamento Geral de Proteção de Dados da União Europeia (RGPD), paradigma da legislação brasileira, por Data Protection Officer ou apenas DPO.
Por seu turno, os artigos 37 a 39 do RGPD tratam propriamente da figura do encarregado de dados (DPO), cuja leitura revela se tratar "mais um serviço do que a atividade de uma única pessoa."2
Nos termos do art. 37 do RGPD, enumeram-se as hipóteses em que é obrigatória a designação do encarregado da proteção de dados. Ao analisar o dispositivo, Cintia Rosa Pereira Lima sintetiza que é obrigatória sua designação quando: a) o tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional; b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala.3
Ademais, o mesmo dispositivo dá a possibilidade de que se grupos empresariais ou várias entidades ou órgãos públicos indiquem terceiro coletivamente um único encarregado, ao mesmo passo que "o encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços (art. 37º, 6.)", sendo o elo entre as autoridades de controle.
O art. 39º do RGPD, por sua vez, detalha as funções do encarregado da proteção de dados . O item 2 do mesmo dispositivo, em suma, leva consideração que, "no desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento." A regra de proporcionalidade entre o risco assumido pelo encarregado e os elementos de sua atividade se assemelha com regra do art. 41, §2º, da LGPD brasileira, dirigindo o comando inclusive à Agência Nacional de Proteção de Dados, quem reproduz o dispositivo ao asseverar que incumbe ao órgão "estabelecer normas complementares sobre a definição e as atribuições do encarregado pelo tratamento de dados pessoais, inclusive nas hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados" (art. 4º, VIII, alínea b, Dec. Fed. 10.474/20).
Conforme destacou-se, a figura do encarregado brasileiro poderia ser análoga à do DPO europeu. Entretanto, Cintia Rosa Pereira Lima é taxativa ao asseverar que o encarregado, conforme designado na Lei Geral de Proteção de Dados brasileira, não é o DPO do RGPD, especialmente pela inegável complexidade de regras que hoje constam do Regulamento europeu ao encarregado, situação diferente da brasileira. Narra a autora, entretanto, que o que poderá vir a acontecer é que a Autoridade Nacional brasileira possa vir a transformar o encarregado de dados na figura do DPO nos termos e critérios do art. 41, §3º, LGPD.4
A lei brasileira é incipiente e até o presente momento o que se pode concluir com segurança é que não há grande detalhamento das funções do encarregado de dados no Brasil se comparado com a Europa. A LGPD é de fato mais suscinta quanto aos deveres e atividades do encarregado nos no art. 41 da LGPD, que essencialmente trata da transparência quanto à identidade e informações de contato do encarregado, determinando ao controlador que as divulgue publicamente, de forma clara e objetiva, preferencialmente em seu sítio eletrônico (§1º) ao mesmo passo que enumera não exaustivamente as atividades do encarregado, que, em síntese, são receber petições de titulares de dados pessoais, prestando-lhe as devidas informações e adotando providências; receber comunicações da ANPD e adotar providências; promover a orientação de colaboradores a respeito das práticas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, às quais se espera sejam especialmente provindas da Autoridade Nacional.
Certo é que a figura do encarregado de dados veio para ser obrigatória para agentes e controladores privados e oriundos do poder público. Não obstante, o manejo de dados é um tema que tem sempre maior apelo junto ao setor privado, especialmente pela multiplicidade do modelo de negócios envolvendo este recente ativo empresarial, seja por que o poder público tradicionalmente gravita sob princípios próprios no concernente ao manejo de dados.
No setor público o que se tem até o presente momento é uma relativa produção normativa infralegal de instituições públicas indicando como DPOs servidores ou membros das instituições respectivas e enumerando atribuições que procuram espelhar a LGPD sem que haja no presente momento maior detalhamento normativo à míngua de maiores diretrizes da Agência.
O que se pode ao menos destacar é que é obrigatória indicação pelo poder público do encarregado de dados quanto houver tratamento de dados nos termos do art. 39 da lei (Art. 23, III, LGPD), lembrando sempre que os relatórios de impacto à proteção de dados deverão ser solicitados pela ANPD aos que se encontram na exceção à Proteção legal (art. 4º, inciso III c.c. §3º, LGPD).
Nesse sentido, Fabrício da Mota Alves afirma que: "Parece evidente, nesse caso, que a indicação do DPO público seja compulsória e inafastável, uma vez que se trata de conditio sine qua non para o tratamento de dados pessoais pelo poder público. Porém, a questão é mais complexa do que se apresenta."5
No concernente à questão das requisições de dados pessoais do art. 19 da LGPD, há duas hipóteses legais. Uma (inciso I) diz respeito às respostas "automáticas" e, portanto, imediatas - que induzem à conclusão de que se trata de buscas simples e pressupõe sistemas automatizados. Já o inciso II dá o prazo de 15 dias para o fornecimento de "declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular."
Destaque-se que o art. 4º do decreto 10.474/20 que regulamenta a Lei e estrutura a Autoridade Nacional de Proteção de Dados, dentre outras providências, estabelece que o Conselho Diretor da entidade "estabelecer prazos para o atendimento às requisições de que tratam os incisos I e II do caput do art. 19 da Lei nº 13.709, de 2018 [LPGD], para setores específicos, mediante avaliação fundamentada, observado o disposto no § 4º do art. 19 da referida Lei" (Art. 4º, inciso VII).
Assim, resta a esperança que aos poucos a multiplicidade das figuras dos encarregados contribua para o fortalecimento da cultura de proteção dos dados pessoais no Brasil. Por essa razão, conforme leciona José Luiz de Moura Faleiros Júnior, não deve o administrador público ficar preso à legislação e aguardar que a Autoridade traga todas as normas prontas e acabadas, produzindo a "indesejável dependência tecnocrática" contrárias às boas práticas da Administração Pública Digital.6
É necessário ser proativo, em especial porque a administração pública deve combinar a proteção dos dados dos cidadãos como direito fundamental com outros interesses diretamente ligados à sua dignidade informacional, tais como a publicidade e transparência (art. 37, caput, CF).
João Victor Rozatti Longhi é associado do IAPD e defensor público no Estado do Paraná, além de presidente da Comissão de Implementação da LGPD na Defensoria Pública do Estado do Paraná. Professor visitante do PPGD da Universidade Estadual do Norte do Paraná e de graduação da União Dinâmica das Faculdades das Cataratas-UDC. Pós-doutorando no International Post-doctoral Programme in New Technologies and Law do Mediterranea International Centre for Human Rights Research (MICHR) - Itália. Pós-doutor em Direito na UENP. Doutor em Direito Público pela USP. Mestre em Direito Civil pela Faculdade de Direito da UERJ. Bacharel em Direito pela UNESP, com intercâmbio na Universidade de Santiago de Compostela (Espanha).
__________
1 PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva. p. 99.
2 Idem. p. 99.
3 LIMA, Cintia Rosa Pereira. Comentários à Lei Geral de Proteção de Dados. Coimbra: Almedina, 2020. p. 269.
4 Idem. p. 293.
5 ALVES, Fabrício da Mota. Estruturação do cargo de DPO em entes públicos. BLUM, Renato Opice, VAINZOF, Rony; MORAES, Henrique Fabretti. Data Protection Officer (Encarregado) - Revista dos Tribunais, 2020. Página RB-24.3. Disponível aqui. Acesso em: 03 dez. 2020.
6 FALEIROS JÚNIOR, José Luiz de Moura. Administração Pública Digital: proposições para o aperfeiçoamento do regime jurídico administrativo na sociedade da informação. Indaiatuba/SP: Foco, 2020. p. 345.