Data Protection Officer (Encarregado) - Ed. 2020

Conceito, Perfil, Papéis e Responsabilidades do Encarregado

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Rony Vainzof 1

1.Introdução

A sanção da Lei Geral de Proteção de Dados (Lei 13.709/18 – LGPD) no dia 14 de agosto de 2018, após ao menos mais de oito anos de intensos debates, representa um importantíssimo marco regulatório para o Brasil sobre o tema, que passa a contar com nível elevado de legislação federal, superando o estágio anterior de tratamento setorial, no qual há diversos dispositivos abordando proteção de dados pessoais (há pelo menos 30 diplomas legais sobre o assunto – aí se inclui o Marco Civil da Internet, Código de Defesa do Consumidor, Lei de Acesso a Informacao, Lei do Cadastro Positivo, entre outros).

A LGPD também é uma resposta aos anseios de maior segurança jurídica para o ambiente digital brasileiro, ao atualizar e consolidar conceitos antes esparsos em diversas normas. Como a LGPD segue, em grande parte, a norma mais robusta e atual em termos de proteção de dados, que é o General Data Protection Regulation (GDPR), 2 ao assegurar um nível de proteção geral e horizontal, coerente, elevado e homogêneo, tende a eliminar obstáculos à circulação de dados pessoais com outros países e, por conseguinte, gerar maior probabilidade de investimentos e atividades econômicas no Brasil.

A Lei busca um equilíbrio da manutenção do desenvolvimento econômico e tecnológico de modelos de negócio inovadores, com a inviolabilidade de direitos constitucionais dos cidadãos. Porém, a parte final do seu art. 1º não deixa qualquer dúvida de que o seu objetivo principal está intrinsicamente vinculado à proteção dos direitos fundamentais de liberdade e de privacidade e ao livre desenvolvimento da personalidade da pessoa natural. E a utilização do verbo “proteger”, no referido art. 1º, demonstra essa necessidade coerente que o legislador enxergou no titular dos dados como vulnerável em comparação com os agentes de tratamento (controlador e operador).

Para garantir tal proteção, as empresas devem observar inúmeras regras, como, entre tantas outras:

• Realizar o tratamento de dados pessoais para propósitos legítimos, específicos, explícitos e informados ao titular;

• Limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades iniciais;

• Garantir, aos titulares, consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

• Garantir, aos titulares, exatidão, clareza, relevância e atualização dos dados;

• Garantir, aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;

• Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

• Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

• Impossibilitar a realização do tratamento para fins discriminatórios ilícitos ou abusivos;

• Demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Em que pese a responsabilidade sobre o cumprimento dessas e demais obrigações previstas na LGPD recair sobre o controlador e/ou o operador dos dados, o Encarregado (Data Protection Officer – DPO) 3 é fundamental para que os referidos agentes de tratamento busquem a jornada permanente de conformidade com a Lei, seja em razão da densidade do seu texto, seja diante da sua complexidade e especialidade.

Assim, o objetivo do presente artigo é entender melhor quem é o DPO, seu perfil e suas funções, diante da sua relevância para que a LGPD seja continuamente cumprida dentro das empresas.

2.Conceito

O conceito do DPO, como ocorre em boa parte da LGPD, é oriundo do GDPR. Porém, na União Europeia (UE), essa figura já se apresentava desde a Diretiva 95/46/CE. 4 Em que pese ainda não obrigatório, desde 1995, então, diversas entidades dos Estados-Membros da UE passaram a nomear um DPO como pilar da conformidade com normas de Proteção de Dados.

Com o GDPR, o DPO ganhou ainda mais relevância contando com uma Seção inteira dedicada ao assunto, dentro do Capítulo sobre o Controlador e o Operador (Seção 4 do Capítulo IV), mas que poderíamos condensar com a seguinte e fundamental previsão: o DPO é o responsável por monitorar a conformidade com o GDPR, com outras normas de proteção de dados da UE ou dos Estados-Membros e com as políticas do controlador ou do operador relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação das pessoas que tratarão dos dados pessoas e das auditorias correspondentes (art. 39 (1)(b)).

No Brasil, o art. , inc. VIII, da LGPD, dispõe que o Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Por sua vez, o art. 41 da Lei dispõe que é o controlador que deverá indicar o Encarregado pelo tratamento de dados pessoais.

Portanto, ao menos até a devida regulamentação 5 , a nomeação do DPO é obrigatória para todos os controladores de dados 6 . Já para os operadores 7 não, em que pese a respectiva nomeação poder consistir em boa prática a depender da área de atuação, do volume e da criticidade dos dados tratados.

No GDPR, por exemplo, a avaliação da obrigatoriedade ou não de nomeação do DPO, para controlador ou operador (art. 37 (1)), ocorre quando: a) o tratamento é efetuado por uma autoridade ou um órgão público, exceto tribunais no exercício da sua função jurisdicional; b) as atividades principais do agente de tratamento consistem em operações que, devido a sua natureza, âmbito e/ou finalidade, exigem um controle regular e sistemático dos titulares dos dados em grande escala; ou c) as atividades principais do agente de tratamento consistem em operações em grande escala de categorias especiais (sensíveis) de dados e de dados pessoais relacionados com condenações e infrações penais.

Já a “identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador”, conforme o § 1º do art. 41 da LGPD.

As disposições do texto legal aqui elencadas mostram que a LGPD pecou ao ser extremamente rasa justamente na figura central da governança em privacidade e proteção de dados nas entidades, que é o DPO 8 .

Ou seja, apesar de o DPO, seja na LGPD, seja no GDPR, não ser diretamente responsável por eventual descumprimento das referidas leis, mas sim os agentes de tratamento, 9 uma das mais importantes medidas de governança das organizações é justamente avaliar a sua nomeação, posição e atribuições, com autonomia e recursos para poder desempenhar, de forma eficaz, a sua função, pois é peça-chave, para não dizer fundamental, no devido cumprimento das leis aplicáveis e na mitigação de riscos.

Ainda, para o posto de DPO, os agentes de tratamento devem avaliar com muito rigor potenciais conflitos de interesse, pois ele é o profissional que opinará de forma imparcial sobre a licitude das atividades de tratamento de dados pessoais dentro da empresa. O art. 38 (6) do GDPR é claro ao dispor que, apesar de o DPO poder exercer outras funções e atribuições, tais atividades não podem resultar em conflito de interesse. Por esse motivo, mitigando potenciais riscos de conflito, o ideal é que o DPO não cumule outros cargos ou então seja terceirizado.

3.Perfil

A LGPD não prevê qualquer perfil específico para o posto do DPO. O vetado § 4º do art. 41, incluído pela da Lei 13.853/19, indicava a necessidade de conhecimento jurídico-regulatório a ser apto a …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
22 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548769/conceito-perfil-papeis-e-responsabilidades-do-encarregado-data-protection-officer-encarregado-ed-2020