Data Protection Officer (Encarregado) - Ed. 2020

Conceito, Perfil, Papéis e Responsabilidades do Encarregado

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Rony Vainzof 1

1.Introdução

A sanção da Lei Geral de Proteção de Dados (Lei 13.709/18 – LGPD) no dia 14 de agosto de 2018, após ao menos mais de oito anos de intensos debates, representa um importantíssimo marco regulatório para o Brasil sobre o tema, que passa a contar com nível elevado de legislação federal, superando o estágio anterior de tratamento setorial, no qual há diversos dispositivos abordando proteção de dados pessoais (há pelo menos 30 diplomas legais sobre o assunto – aí se inclui o Marco Civil da Internet, Código de Defesa do Consumidor, Lei de Acesso a Informacao, Lei do Cadastro Positivo, entre outros).

A LGPD também é uma resposta aos anseios de maior segurança jurídica para o ambiente digital brasileiro, ao atualizar e consolidar conceitos antes esparsos em diversas normas. Como a LGPD segue, em grande parte, a norma mais robusta e atual em termos de proteção de dados, que é o General Data Protection Regulation (GDPR), 2 ao assegurar um nível de proteção geral e horizontal, coerente, elevado e homogêneo, tende a eliminar obstáculos à circulação de dados pessoais com outros países e, por conseguinte, gerar maior probabilidade de investimentos e atividades econômicas no Brasil.

A Lei busca um equilíbrio da manutenção do desenvolvimento econômico e tecnológico de modelos de negócio inovadores, com a inviolabilidade de direitos constitucionais dos cidadãos. Porém, a parte final do seu art. 1º não deixa qualquer dúvida de que o seu objetivo principal está intrinsicamente vinculado à proteção dos direitos fundamentais de liberdade e de privacidade e ao livre desenvolvimento da personalidade da pessoa natural. E a utilização do verbo “proteger”, no referido art. 1º, demonstra essa necessidade coerente que o legislador enxergou no titular dos dados como vulnerável em comparação com os agentes de tratamento (controlador e operador).

Para garantir tal proteção, as empresas devem observar inúmeras regras, como, entre tantas outras:

• Realizar o tratamento de dados pessoais para propósitos legítimos, específicos, explícitos e informados ao titular;

• Limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades iniciais;

• Garantir, aos titulares, consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

• Garantir, aos titulares, exatidão, clareza, relevância e atualização dos dados;

• Garantir, aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;

• Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

• Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

• Impossibilitar a realização do tratamento para fins discriminatórios ilícitos ou abusivos;

• Demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Em que pese a responsabilidade sobre o cumprimento dessas e demais obrigações previstas na LGPD recair sobre o controlador e/ou o operador dos dados, o Encarregado (Data Protection Officer – DPO) 3 é fundamental para que os referidos agentes de tratamento busquem a jornada permanente de conformidade com a Lei, seja em razão da densidade do seu texto, seja diante da sua complexidade e especialidade.

Assim, o objetivo do presente artigo é entender melhor quem é o DPO, seu perfil e suas funções, diante da sua relevância para que a LGPD seja continuamente cumprida dentro das empresas.

2.Conceito

O conceito do DPO, como ocorre em boa parte da LGPD, é oriundo do GDPR. Porém, na União Europeia (UE), essa figura já se apresentava desde a Diretiva 95/46/CE. 4 Em que pese ainda não obrigatório, desde 1995, então, diversas entidades dos Estados-Membros da UE passaram a nomear um DPO como pilar da conformidade com normas de Proteção de Dados.

Com o GDPR, o DPO ganhou ainda mais relevância contando com uma Seção inteira dedicada ao assunto, dentro do Capítulo sobre o Controlador e o Operador (Seção 4 do Capítulo IV), mas que poderíamos condensar com a seguinte e fundamental previsão: o DPO é o responsável por monitorar a conformidade com o GDPR, com outras normas de proteção de dados da UE ou dos Estados-Membros e com as políticas do controlador ou do operador relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação das pessoas que tratarão dos dados pessoas e das auditorias correspondentes (art. 39 (1)(b)).

No Brasil, o art. 5º, inc. VIII, da LGPD, dispõe que o Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Por sua vez, o art. 41 da Lei dispõe que é o controlador que deverá indicar o Encarregado pelo tratamento de dados pessoais.

Portanto, ao menos até a devida regulamentação 5 , a nomeação do DPO é obrigatória para todos os controladores de dados 6 . Já para os operadores 7 não, em que pese a respectiva nomeação poder consistir em boa prática a depender da área de atuação, do volume e da criticidade dos dados tratados.

No GDPR, por exemplo, a avaliação da obrigatoriedade ou não de nomeação do DPO, para controlador ou operador (art. 37 (1)), ocorre quando: a) o tratamento é efetuado por uma autoridade ou um órgão público, exceto tribunais no exercício da sua função jurisdicional; b) as atividades principais do agente de tratamento consistem em operações que, devido a sua natureza, âmbito e/ou finalidade, exigem um controle regular e sistemático dos titulares dos dados em grande escala; ou c) as atividades principais do agente de tratamento consistem em operações em grande escala de categorias especiais (sensíveis) de dados e de dados pessoais relacionados com condenações e infrações penais.

Já a “identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador”, conforme o § 1º do art. 41 da LGPD.

As disposições do texto legal aqui elencadas mostram que a LGPD pecou ao ser extremamente rasa justamente na figura central da governança em privacidade e proteção de dados nas entidades, que é o DPO 8 .

Ou seja, apesar de o DPO, seja na LGPD, seja no GDPR, não ser diretamente responsável por eventual descumprimento das referidas leis, mas sim os agentes de tratamento, 9 uma das mais importantes medidas de governança das organizações é justamente avaliar a sua nomeação, posição e atribuições, com autonomia e recursos para poder desempenhar, de forma eficaz, a sua função, pois é peça-chave, para não dizer fundamental, no devido cumprimento das leis aplicáveis e na mitigação de riscos.

Ainda, para o posto de DPO, os agentes de tratamento devem avaliar com muito rigor potenciais conflitos de interesse, pois ele é o profissional que opinará de forma imparcial sobre a licitude das atividades de tratamento de dados pessoais dentro da empresa. O art. 38 (6) do GDPR é claro ao dispor que, apesar de o DPO poder exercer outras funções e atribuições, tais atividades não podem resultar em conflito de interesse. Por esse motivo, mitigando potenciais riscos de conflito, o ideal é que o DPO não cumule outros cargos ou então seja terceirizado.

3.Perfil

A LGPD não prevê qualquer perfil específico para o posto do DPO. O vetado § 4º do art. 41, incluído pela da Lei 13.853/19, indicava a necessidade de conhecimento jurídico-regulatório a ser apto a prestar serviços especializados em proteção de dados. Tal disposição foi vetada, pois contrariaria “o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. , XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial”. 10

De outra forma, o GDPR, no art. 37 (5), dispõe que o DPO deve ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no seu art. 39.

Assim, não obstante essa ausência de específica orientação legal, que deverá ser suprida por meio de futura regulamentação pela ANPD, a organização deverá observar, na nomeação do DPO, no mínimo, se ele conta com conhecimento e habilidade suficiente para exercer o já previsto expressamente na LGPD, ou seja (art. 41, § 2º):

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Também é importante que o DPO tenha habilidade para outros requisitos da LGPD, como:

• Formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo (art. 50 da Lei):

• Reclamações e petições de titulares;

• Normas de segurança e os padrões técnicos;

• As obrigações específicas para os diversos envolvidos no tratamento;

• As ações educativas;

• Os mecanismos internos de supervisão e de mitigação de riscos.

• Aplicar e garantir o princípio da segurança (art. 6º, VII – “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”) e prevenção (art. 6º, VIII – “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”).

Ademais, um programa de governança depende da criação e da manutenção da estrutura interna que cuidará do tema privacidade e proteção de dados pessoais na organização, sob o comando ou a avaliação contínua do DPO, que, portanto, também deverá ser capacitado para tanto.

No GDPR, conforme o art. 39, as funções do encarregado são:

• Informar e aconselhar o controlador ou o operador, bem como os colaboradores que tratem dados pessoais a respeito das suas obrigações nos termos do Regulamento e de outras disposições de proteção de dados aplicáveis;

• Monitorar a conformidade com o Regulamento, outras normas aplicáveis e com as políticas corporativas, incluindo a repartição de responsabilidades, a sensibilização e formação das pessoas que operam dados pessoais e as auditorias correspondentes;

• Aconselhar, quando solicitado, acerca da avaliação de impacto sobre a proteção de dados e monitorar a sua realização;

• Cooperar com as Autoridades; e

• Ser o ponto de contato com as Autoridades sobre questões relacionadas ao tratamento de dados.

No desempenho das suas funções, o DPO deverá conseguir avaliar os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento (art. 39 (2) do GDPR), assim como elaborar parecer nas avaliações de impacto sobre a proteção de dados pessoais (art. 35 (2) do GDPR).

Assim, seguindo a linha do GDPR, aconselha-se também, no âmbito da LGPD, que o DPO conte com as seguintes competências 11 :

1. Conhecimento jurídico-regulatório: o DPO deve ser designado com base em suas qualidades profissionais, principalmente em seu conhecimento especializado no domínio jurídico e práticas de proteção de dados (art. 37 (5)). Referido conhecimento deverá levar em consideração não somente a lei local (no nosso caso, a LGPD), mas todas as legislações internacionais e normas setoriais aplicáveis. O perfil jurídico normalmente também contribui com a discrição e confidencialidade das questões tratadas pelo DPO, bem como na manutenção da governança diante da experiência de profissionais da área jurídica na relação com clientes e em auditorias para identificação de gaps e medidas corretivas, opinando de forma independente para a devida conformidade legal;

2. Gerenciamento de risco e Tecnologia da Informação (TI): conforme já comentado, o DPO deve levar em consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as respectivas finalidades 12 . Também necessita orientar e gerar evidências acerca das medidas de conformidade, em especial no que diz respeito à identificação dos riscos relacionados com o tratamento, à sua avaliação em termos de origem, natureza, probabilidade e gravidade, bem como à identificação das melhores práticas para a atenuação dos riscos. 13 Lembrando que são princípios da LGPD: Segurança, Prevenção e Responsabilização e Prestação de Contas 14 . Portanto, é aconselhável que o DPO tenha um razoável conhecimento em questões de TI (programação, sistemas, infraestrutura, entre outro) para identificar potenciais riscos, além de entender como ferramentas podem auxiliar em medidas de privacy e security by design;

3. Liderança: o DPO deve reportar diretamente ao mais elevado nível de direção do controlador ou do operador, que devem lhe assegurar autonomia, não devendo ser destituído ou penalizado no exercício de suas funções. 15 Os agentes de tratamento também devem assegurar que o DPO esteja envolvido em todas as questões relacionadas à proteção de dados pessoais, de forma adequada e em tempo útil, 16 apoiando-o no exercício das suas funções 17 . Assim, o DPO usualmente é o profissional responsável por liderar a área de proteção de dados e privacidade das entidades, tendo acesso a informações relevantes e contando com a contribuição de todas as áreas da empresa que tratam de dados pessoais, além de guardião das políticas internas relacionadas ao tema, orientando interna e externamente as pessoas para a devida conformidade. Também é o profissional que levará a sua opinião sobre questões relevantes para a tomada de decisão na organização. Por todos esses motivos, é de suma importância que ele tenha habilidade de liderança;

4. Auditoria e proatividade: o DPO deve ser um fiscal da conformidade da LGPD e das demais normas setoriais de proteção de dados pessoais aplicáveis dentro da organização. Deve exercer sempre um posicionamento isento, sem receber instruções (interferências indevidas) relacionadas às suas atividades. 18 Precisa ser proativo e saber identificar a localização e como obter as informações necessárias para executar o seu trabalho, que muitas vezes será de auditor, levando informações completas, precisas e imparciais à diretoria quanto à conformidade das atividades para tomada de decisão;

5. Conscientizador/Educador: o DPO exerce um papel fundamental de avaliar e aplicar todas as medidas possíveis para conscientizar todos os colaboradores e demais pessoas que operem dados pessoais sob a responsabilidade da organização acerca das regras estabelecidas, ou seja, das normas legais e políticas coorporativas vigentes. Para atingir essa meta, o DPO necessita contar com uma boa didática, transmitindo o seu conhecimento de forma que os destinatários da informação consigam entender a relevância do tema e se engajem no cumprimento das regras existentes;

6. Relações Públicas/Governamentais: como o DPO será responsável por atuar como canal de comunicação com os titulares e com a ANPD, é fundamental que ele tenha a habilidade de se posicionar adequadamente em nome da empresa perante terceiros, desenvolvendo narrativas condizentes com as evidências existentes, seja em um evento crítico de incidente perante à Autoridade, no esclarecimento de um relatório de impacto à proteção de dados pessoais de um novo produto que será lançado, seja em um caso mais sensível de requisição de um direito pelo titular, como a solicitação de revisão de uma decisão tomada unicamente com base em tratamento automatizado de dados pessoais. Principalmente na relação com os titulares de dados, o posicionamento do DPO deve ser em um linguajar de fácil compreensão, evitando-se jargões técnicos, jurídicos ou de TI.

Portanto, na escolha do DPO, devem ser levados em consideração a...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548769/conceito-perfil-papeis-e-responsabilidades-do-encarregado-data-protection-officer-encarregado-ed-2020