A figura do encarregado pelo tratamento de dados pessoais na LGPD
sexta-feira, 29 de abril de 2022
Atualizado às 07:31
A figura do encarregado pelo tratamento de dados (também conhecido como DPO) tem gerado diversas controvérsias e debates no cenário brasileiro. Uma das amostras mais recentes da relevância do tema foi a abertura de inscrições para tomada de subsídios sobre a norma do encarregado, feita pela Autoridade Nacional de Proteção de Dados ("ANPD") em 18/03/20221.
O objetivo deste pequeno ensaio é analisar o conceito, as características, a obrigatoriedade de nomeação, os impedimentos e cautelas ligados ao cargo, o que se fará por meio de análise da legislação e regulação específicas no Brasil, com observação da experiência europeia para aclarar pontos ainda nebulosos no âmbito nacional.
Na LGPD, encarregado é definido como a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)"2.
Inicialmente, é possível concluir que o encarregado pode ser pessoa natural ou jurídica, apesar da lei haver se limitado ao termo "pessoa". Tal afirmação ocorre por diversos motivos: quando promulgada, em 14/08/2018, a LGPD previa o conceito de encarregado como a pessoa natural indicada pelo controlador, mas o texto foi alterado, antes de sua entrada em vigor, pela lei 13.853/2019, que suprimiu o termo "natural" e manteve apenas a expressão "pessoa", passando a abarcar tanto a pessoa jurídica quanto a pessoa natural. Além disso, o Guia Orientativo expedido pela ANPD3 prevê que o encarregado pode ser pessoa natural ou jurídica, entendimento que vem sendo adotado pelas melhores práticas internacionais, inclusive pela Europa, onde diversos controladores têm contratado empresas e escritórios para atuação como DPO as a service. No Brasil, ainda, a OAB expediu parecer recente em que admite sociedades de advogados como encarregadas4.
Outro aspecto relevante é o fato de a LGPD prever a obrigatoriedade de nomeação de encarregado pelo tratamento de dados, o que deve ser feito por todo controlador, ressalvados os casos em que a ANPD estabeleça dispensa5, como aquela feita recentemente para os agentes de tratamento de pequeno porte6.
Neste sentido, estão dispensados da nomeação de encarregado pela proteção de dados pessoais apenas microempresas, empresas de pequeno porte, startups, entidades sem fins lucrativos, pessoas naturais e entes despersonalizados, desde que preencham os demais requisitos trazidos na Resolução, quais sejam:
1) Não realizar tratamento de alto risco, que é o tratamento em larga escala ou que possa afetar significativamente direitos e liberdades e que, simultaneamente, utilize tecnologia inovadora ou emergente, realize vigilância ou controle de zonas acessíveis ao público, tome decisões unicamente com base em tratamento automatizado ou realize tratamento de dados sensíveis ou de crianças, adolescentes e idosos;
2) Não auferir e não pertencer a grupo econômico que tenha auferido receita bruta superior a R$ 4.800.000,00 ou, se startup, de R$ 16.000.000,00;
Todas as demais organizações que realizem tratamento de dados pessoais permanecem obrigadas a nomear encarregado pelo tratamento de dados pessoais, o que inclui, portanto, não apenas grandes empresas, mas também as microempresas, empresas de pequeno porte e startups que não atendam os critérios mencionados.
Mesmo nas hipóteses de dispensa, a resolução admite que a indicação será considerada uma boa prática, apta a reduzir sanções e responsabilidades e que, em qualquer caso, o controlador permanecerá obrigado a indicar um canal de comunicação com o titular.
Tal determinação está em consonância com as atividades do encarregado, que podem ser divididas em dois grandes grupos: comunicação e manutenção do programa de compliance.
No tocante à comunicação, o encarregado é o principal responsável pelas atividades de comunicação interna (com as áreas e demais colaboradores) e externa (com os titulares, a ANPD, os prestadores de serviços, parceiros e demais stakeholders), razão pela qual é fundamental a disponibilização do contato e identificação do encarregado. Outra importante função é a construção e manutenção da cultura de privacidade e proteção de dados, levando consciência da relevância do tema e da necessidade de envolver todas as pessoas na criação de serviços, produtos e procedimento que nasçam em adequação à legislação vigente. Sob a ótica da manutenção do compliance, é possível mencionar o desenvolvimento e gestão dos programas de governança, a estruturação de processos, a atualização de manuais e políticas, além do acompanhamento e definição de medidas de segurança, inclusive com aplicação de medidas disciplinares que estejam previstas em manuais e políticas7.
Por todo exposto, é necessário que haja autonomia da figura do encarregado, que não deve se submeter a outras áreas. Isso é necessário para a integração com todos os departamentos da empresa, para a independência na adequação de procedimentos e para propositura de medidas de conformidade para todas as operações de tratamento de dados pessoais, independentemente do grau hierárquico do integrante da organização que as realize.
Garantida a autonomia, é possível que o encarregado seja um colaborador da própria organização ou um agente externo, que atue como DPO as a service, seja pessoa natural ou jurídica. Ademais, inexistem pré-requisitos legais para o exercício da função, mas algumas medidas devem ser observadas, tais como:
a) Possibilidade de conflito de interesse:
No caso de encarregado interno, o GDPR determina que o controlador evite a nomeação de pessoas que possam gerar conflito de interesses entre o cargo de DPO e a função que exerça8, tais como colaboradores que atuem na área de TI ou RH ou qualquer membro que ocupe alto nível hierárquico, ocasiões em que necessitaria supervisionar a si mesmo.
O Article 29 Data Protection Working Party sugere, de maneira mais ampla, que não devem ser nomeados colaboradores que tomem decisões relevantes acerca de tratamento de dados pessoais, pessoas que atuem como CEO, COO, CFO, CMO, head de áreas ou, ainda, qualquer colaborador que realize tratamento de dados pessoais em larga escala.
Tal recomendação é relevante e a inobservância tem rendido sanções administrativas na Europa. A autoridade de proteção de dados belga aplicou multa de 50.000 ? (50 mil euros), cumulada com o prazo de 3 (três) meses para solução do conflito, a uma companhia que nomeou o Chefe do Departamento de Compliance, Gestão de Riscos e Auditoria como DPO.
Já a autoridade de proteção de dados de Luxemburgo advertiu determinada companhia acerca da incompatibilidade entre a função de DPO e de Head de Compliance e Prevenção à Lavagem de Dinheiro. Por haver corrigido o erro de maneira tempestiva, não houve imposição de multa.
Portanto, ao nomear encarregado interno, o controlador deve observar a compatibilidade entre o cargo e as atividades já desenvolvidas pelo controlador.
b) Conhecimento técnico ou jurídico:
No Brasil, inexiste norma prevendo qualificação técnica ou jurídica para o exercício da atividade de encarregado pelo tratamento de dados pessoais, tampouco há exigência de certificações.
Contudo, o exercício da função de encarregado requer conhecimento sobre as normas de privacidade e proteção de dados pessoais, bem como noções sobre mapeamento de operações, gestão de riscos contratuais, elaborações de políticas, comunicação com titulares de dados pessoais e atuação em eventuais procedimentos administrativos ou judiciais. Além disso, é importante a noção da parte técnica, ligada a segurança da informação, mapeamento de sistemas e identificação de riscos.
Por isso, tem sido comum a contratação de consultorias jurídicas ou técnicas para aprimoramento da gestão de programas de proteção de dados e da comunicação com agentes externos.
__________
1 BRASIL. Autoridade Nacional de Proteção de Dados. Abertas inscrições para tomada de subsídios sobre a norma do encarregado. Disponível aqui. Acesso em 22/03/2022.
2 Art. 5º, inciso VIII da LGPD.
3 BRASIL. Autoridade Nacional de Proteção de Dados. Guia orientativo para definições dos agentes de tratamento de dados pessoais e encarregado. Disponível aqui, p. 22, ponto 71. Acesso em 22/03/2022.
4 OAB/SP. Processo E-5.537/2021. EXERCÍCIO PROFISSIONAL - LGPD E ADVOCACIA - ENCARREGADO DE DADOS - INCOMPATIBILIDADE OU IMPEDIMENTOS - POSSIBILIDADE DE ATUAÇÃO - OBSERVAÇÃO DE CAUTELA QUANTO À PUBLICIDADE - CAPTAÇÃO INDEVIDA DE CLIENTELA - DEVER DE SIGILO. Disponível aqui. Acesso em 24/03/2022.
5 Art. 41 da LGPD.
6 Art. 11 da Resolução CD/ANPD nº 2/2022.
7 KREMER, Bianca; PALMEIRA, Mariana. A compreensão do encarregado: diferentes perfis, requisitos e qualificações. In: FRAZÃO, Ana; CUEVA, Ricardo Villas Bôas (coords.). Compliance e Políticas de Proteção de Dados. Thomson Reuters Brasil: São Paulo, 2021, pp. 623-663.
8 Key Issue "Data Protection Officer" do GDPR. Disponível aqui.