Do encarregado pelo tratamento de dados pessoais: é obrigatória a sua nomeação?
A LGPD prevê no §2º do art. 41, algumas atividades a serem desempenhadas pelo encarregado de proteção de dados e, além delas, também terá como atribuição, por exemplo, em validar o Relatório de Impacto à Proteção de Dados (RIPD) elaborado pelo agente de tratamento.
sexta-feira, 22 de outubro de 2021
Atualizado em 25 de outubro de 2021 10:45
A lei 13.709/18 (lei Geral de Proteção de Dados Pessoais - LGPD)1 está em vigor desde o dia 18 de setembro de 2020, ou seja, há mais de 1 (um) ano, e muitas organizações possuem dúvidas quanto à nomeação do encarregado pelo tratamento de dados pessoais (Data Protection Officer - DPO).
O artigo 5, inciso VIII, da LGPD, dispõe que o encarregado, será uma "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)." Já o caput do artigo 41, da LGPD, dispõe que "o controlador deverá indicar encarregado pelo tratamento de dados pessoais."
Dessa forma, em decorrência das dúvidas acerca da nomeação do encarregado pelas organizações, no âmbito privado - o art. 23, III, da LGPD prevê a nomeação no setor público -, em maio de 2021, a ANPD elaborou um excelente "guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado", que são orientações não vinculantes, que dispõe expressamente que, como "a LGPD não determinou em que circunstâncias uma organização deve indicar um encarregado", "deve-se assumir, como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel."2
Ressalte-se que, no dia 30 de agosto de 2021, a ANPD publicou a Minuta de Resolução que regulamenta sobre os agentes de tratamento de pequeno porte e, no que tange à parte referente ao encarregado de proteção de dados, consta que que tais agentes de tratamento não são obrigados a nomeá-lo e, se porventura não houver a sua nomeação, a organização deverá disponibilizar um canal de comunicação com o titular de dados.3
Pelo fato da União Europeia possuir um maior amadurecimento sobre o tema de proteção de dados, ante a ausência de regulamentação de alguns assuntos previstos na LGPD, é interessante olhar para o modelo europeu para que as boas práticas internacionais sejam aplicadas no contexto brasileiro.
Assim, mesmo após a manifestação da ANPD em seu guia orientativo acima mencionado, sobre a indicação do encarregado como regra geral, se porventura a organização se encaixar nas 2 (duas), das 3 (três) hipóteses obrigatórias de nomeação do encarregado de proteção de dados, previstas no art. 37, 1, do GDPR (lei europeia de proteção de dados pessoais), é interessante que haja a sua nomeação. As hipóteses são: (i) tratamento efetuado pelo Poder Público (há previsão expressa na LGPD); (ii) quando as atividades principais consistirem no controle regular e sistemático de dados pessoais em grande escala; e, (iii) quando as atividades principais consistirem no tratamento em grande escala de dados sensíveis e dados relacionados com condenações penais e infrações.4
A LGPD prevê no §2º do art. 41, algumas atividades a serem desempenhadas pelo encarregado de proteção de dados e, além delas, também terá como atribuição, por exemplo, em validar o Relatório de Impacto à Proteção de Dados (RIPD) elaborado pelo agente de tratamento, dentre outras.5 Se porventura a organização estiver em desacordo com a opinião do encarregado, o WP29 recomenda, como boa prática, documentar os motivos pelos quais os seus conselhos não foram acatados internamente.6
Com relação à nomeação do encarregado - se interno ou externo - vale dizer que poderá ser alguém do jurídico ou de TI ou, um terceirizado (pessoa jurídica - DPO as a service), o qual deverá atuar de forma independente, bem como irá se reportar diretamente aos membros da Alta Administração. Saliente-se que, se a nomeação for de um colaborador interno, a atividade a ser desempenhada pode ser cumulada com a anterior, desde que não haja conflitos de interesse (art. 38, 6, do GDPR). Também é fundamental que o encarregado tenha um bom suporte quanto aos recursos financeiros para o desempenho da sua função, pessoal qualificado para auxiliá-lo - a depender do tamanho da organização -, treinamento contínuo a fim de se manter atualizado para desenvolver o domínio em temas correlatos à proteção de dados, etc.7
Por fim, quanto à obrigatoriedade ou não da nomeação do encarregado, é interessante que haja a sua nomeação até que a ANPD regulamente sobre o tema, dispondo sobre as hipóteses de dispensa da nomeação.8 O encarregado possui outras funções a serem desempenhadas, bem como a sua atuação cotidiana requer algumas habilidades,9 pois os desafios que surgem no dia a dia são diversos, muitos dos quais não possuem soluções previstas nos livros, motivo pelo qual o profissional deverá estar em contínua atualização.
________
1 BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível aqui. Acesso em: 12 out. 2021.
2 BRASIL. Autoridade Nacional de Proteção de Dados. Guia orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível aqui. Acesso em: 12 out. 2021. p. 22.
3 BRASIL. Autoridade Nacional de Proteção de Dados. Minuta de Resolução sobre os agentes de tratamento de pequeno porte. Disponível aqui. Acesso em: 12 out. 2021.
4 REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Europeia. Disponível aqui. Acesso em: 12 out. 2021.
5 Information Commissioner's Office (ICO). Data protection officers. Disponível aqui. Acesso em 12 out. 2021.
6 ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines on Data Protection Officers ('DPOs'). Adopted on 13 December 2016. As last Revised and Adopted on 5 April 2017. Disponível aqui. Acesso em: 12 out. 2021. p. 14.
7 Id. ibid., p. 14.
8 No dia 28 de janeiro de 2021 (considerado o Dia Internacional da Proteção de Dados), ocorreu a publicação da Agenda Regulatória da ANPD para o biênio 2021-2022 (Portaria nº 11/2021). De acordo com o §3º do art. 41, da LGPD c/c artigo 2 da Portaria nº 11/21, a ANPD irá se manifestar acerca da dispensa da necessidade de nomeação do encarregado, conforme a natureza e o porte da entidade ou volume de operações de tratamento de dados, no primeiro semestre de 2022 (fase 2). Disponível aqui. Acesso em: 12 out. 2021.
9 Acerca do resumo das habilidades de trabalho requeridas do encarregado de proteção de dados, recomendo a leitura do seguinte livro: SHAW, Thomas J. DPO Handbook. Data Protection Officers Under the GDPR. Second Edition. 2018. International Association of Privacy Professionals. p. 24.