Data Protection Officer (Encarregado) - Ed. 2020

A Formação e Certificações do Dpo

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Pedro Nachbar Sanches 1

Tiago F. Campanholi dos Santos 2

1.Introdução

O Encarregado pelo Tratamento de Dados Pessoais, termo trazido pela Lei Geral de Proteção de Dados equivalente ao Data Protection Officer – DPO, da GDPR, presente também em outras legislações de privacidade e proteção de dados ao redor do mundo, possui uma importância indiscutível dentro de qualquer programa de privacidade e proteção de dados pessoais. Suas responsabilidades, deveres, obrigações e direitos, junto aos titulares de dados pessoais, às áreas internas das companhias e às Autoridades de Proteção de Dados, já foram abordados em outros capítulos do presente livro.

Porém, qual deve ser a formação do DPO? Ele deve ser um profissional com habilidades e formação da área de Tecnologia de Informação, Segurança da Informação, Jurídico, Auditoria ou de Compliance e Governança? Ele deve possuir certificados específicos para assumir a função? Há algum requisito legal sobre esses assuntos na LGPD e em outras legislações ao redor do mundo?

Neste capítulo, discorreremos sobre qual pode ser a formação do DPO, suas habilidades e requisitos legais no Brasil e nos principais países do mundo, qual suas principais características considerando o ecossistema global de leis de privacidade e proteção de dados, e quais certificações são interessantes para auxiliar o DPO em sua capacitação e treinamento diante do atual contexto e maturidade da LGPD no Brasil.

2.Leis de Privacidade e Proteção de Dados no mundo e a formação e certificações do Encarregado pelo Tratamento de Dados Pessoais

A Lei Geral de Proteção de Dados representa um novo marco legislativo no Brasil no que diz respeito à proteção da privacidade e dados pessoais. Muito embora ainda não se tenha uma cultura enraizada e estabelecida no país como há em outros países (principalmente Europa) com relação ao assunto, o Brasil faz parte de um contexto global de novas legislações que visam proteger a privacidade e dados pessoais de seus cidadãos dentro do cenário de manipulação e tratamento em massa de dados pessoais, principalmente nos meios digitais.

Tendo em vista a falta de definição que ainda existe no Brasil quanto a quem deve ser o Encarregado pelo Tratamento de Dados Pessoais, quais são seus requisitos, habilidades, contexto e histórico profissional, formação, certificações e atribuições, buscaremos expor como as outras legislações de privacidade e proteção de dados pessoais que existem ao redor do mundo, que já possuem uma conjuntura mais madura que o Brasil, tratam sobre este assunto.

2.1. DPO na legislação da América Latina

Antes do Brasil, vários países da América Latina já haviam aprovado legislações de privacidade e proteção de dados pessoais, incluindo Argentina, Uruguai, Chile e México. Ao contrário do Brasil, esses países já tinham legislações específicas sobre o assunto desde o final dos anos 90 e início dos anos 2000, num período pré-GDPR. A influência da GDPR, porém, foi inevitável, de forma que suas leis estão também passando por reformas por ainda não possuírem todas as características utilizadas globalmente pelo contexto GDPR, CCPA e LGPD.

Na Argentina, a Lei de Proteção de Dados nº 25.326/2000 3 e seu Decreto regulador nº 1558/2001 4 não possuem qualquer disposição sobre a nomeação de um Encarregado ou quais seriam seus requisitos legais ou habilidades. Porém, há um projeto de lei para alterar a Lei de Proteção de Dados, Projeto MEN-2018-147-APN- DNPDP 5 , submetido em 19 de setembro de 2018 (influência da pós-vigência da GDPR) pelo Poder Executivo da Argentina, ainda em discussão no Congresso, que traz a figura do Encarregado (lá chamado de Delegado de Protección de Datos).

O art. 43 do projeto de lei estabelece em quais situações o controlador deverá nomear um Encarregado, com redação similar à da GDPR. Traz também, em tradução livre, que “a designação do Encarregado pelo tratamento de dados pessoais deve recair em uma pessoa que reúna os requisitos de idoneidade, capacidade e conhecimentos específicos para o exercício de suas funções” (grifo nosso), bem como que o Encarregado pode exercer outras funções desde que não existam quaisquer conflitos de interesse.

No Uruguai, a Lei 18.331/2008 6 , Lei de Proteção de Dados Pessoais e Ação de Habeas Data e seu Decreto regulador nº 414/009 de 2009 7 , não possuía disposições específicas sobre o tema. Porém, após a vigência da GDPR em 2018, foi aprovada a Lei nº 19.670 8 , que alterou a Lei de Proteção de Dados e traz em seu art. 40 a figura e funções do Delegado de Protección de Datos, cujo requisito foi apenas descrito como “o delegado deve ter as condições necessárias para o desempenho adequado de suas funções e atuará com autonomia técnica”.

No mesmo sentido, no Chile, a Lei nº 19.628/1999 9 , Lei de Proteção da Vida Privada, possuía disposições sobre a proteção de informações no âmbito da vida privada, mas fora do contexto atual de privacidade e proteção de dados. Havia apenas uma disposição na Lei nº 22.575/2012 10 , que complementou a lei anterior e estabeleceu o princípio da finalidade no tratamento de dados pessoais, em seu art. 4º, que “os distribuidores de registros pessoais, financeiros, bancários ou comerciais ou bancos de dados pessoais devem designar uma pessoa física encarregada pelo tratamento de dados, para que os proprietários dos dados possam recorrer a ele para fins de aplicação dos direitos trazidos pela Lei nº 19.628, sobre a proteção da vida privada”.

Outrossim, em março de 2017, foi apresentado o Projeto de Lei nº 11144-07 11 , que regulamenta o tratamento e a proteção de dados pessoais e cria a autoridade de proteção de dados pessoais, ainda em discussão no Congresso. O art. 52 do projeto de lei estabelece a obrigatoriedade de nomeação de um Encarregado, bem como que o controlador deverá garantir que o Encarregado, em tradução livre “tenha meios e poderes suficientes para desempenhar suas funções e conceder a ele os recursos materiais necessários para desempenhar adequadamente suas tarefas, levando em consideração o tamanho e a capacidade econômica da entidade”.

No México, há a Lei Federal de Proteção de Dados Pessoais em Posse dos Particulares, de 5 de julho de 2010 12 , que determina a nomeação de um Encarregado pelo Tratamento de Dados, suas atribuições e funções, porém não há critérios específicos de habilidades, formação ou requisitos legais para a nomeação do Encarregado ou para o cargo.

2.2.DPO na legislação da América do Norte

Na América do Norte, hoje, tem-se três principais conjuntos de legislações sobre privacidade e proteção de dados pessoais: Canadá (com uma legislação que vem desde os anos 80, num conjunto complexo de normas a nível da União e das Províncias) e Estados Unidos da América (CCPA no Estado da Califórnia e demais regras federais sobre o tema).

No Canadá, há duas principais normas sobre o tema de privacidade e proteção de dados, a nível da União: a Lei de Privacidade (“Privacy Act”), RSC 1985 c P-21 13 , de 1985 e a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (Personal Information Protection and Electronic Documents Act – “PIPEDA”), SC 2000 c 5 14 , de 2000, bem como outras legislações específicas sobre e correlacionado ao tema, inclusive a nível de Províncias.

No ecossistema legislativo de privacidade e proteção de dados canadense, há a obrigatoriedade de nomeação de um Encarregado: de acordo com a PIPEDA e a legislação da Colúmbia Britânica e Alberta, as organizações são obrigadas a designar um indivíduo ou indivíduos responsáveis pelo cumprimento da legislação aplicável (PIPEDA etc.) 15 , que é comumente conhecido no Canadá como Diretor de Privacidade (“Privacy Officer”), embora a PIPEDA não especifique a nomenclatura do cargo ou que o indivíduo seja um diretor corporativo, tampouco quais são as funções, atribuições, habilidades, formação ou certificações necessárias para o desenvolvimento das atividades cotidianas desse indivíduo ou indivíduos, que apenas fará com que a organização esteja em compliance com a legislação.

Nos Estados Unidos da América, assim como no caso do Canadá, há um ecossistema complexo de normas federais e estaduais harmonizadas ou não entre si. A nível federal, ainda não há uma legislação específica sobre privacidade e proteção de dados pessoais nos moldes das novas legislações como GDPR e LGPD, ou normas que dizem respeito ao Encarregado pelo Tratamento de Dados Pessoais (ou seus requisitos legais e habilidades), porém há diversas normas que tratam de assuntos correlacionados fragmentados, como a Lei de Privacidade de Comunicações Eletrônicas de 1986, Lei de Privacidade de 1974 16 , que dispõe sobre a publicidade ou privacidade de informações dos indivíduos (e não no sentido atual de privacidade e proteção de dados), Lei de Proteção à Privacidade On-line de Crianças (“COPPA”), de 1998, legislações sobre planos de saúde, informações de saúde e tecnologia e saúde clínica, telemarketing e consumidores, marketing, crédito, e várias outras, sem contar a pulverização das legislações a nível estadual.

Talvez o caso mais interessante que se tenha hoje nos EUA é o do Estado da Califórnia, que já possuía uma legislação específica sobre o tema, por exemplo a Lei da Privacidade das Comunicações Eletrônicas da Califórnia 17 , de 2015, mas que, considerando o contexto de privacidade e proteção de dados global, principalmente o trazido pela GDPR, bem como a possível demora de aprovação de uma lei federal, que uniformizaria o tema no país, aprovou em 2018 a Lei de Privacidade dos Consumidores da Califórnia 18 (California Consumer Privacy Act of 2018 – “CCPA”), aplicável somente aos consumidores (e não todo tipo de titular de dados pessoais), que entrou em vigor em 1º de janeiro de 2020, aprovada nos moldes principiológicos e contextuais da GDPR.

Ao contrário da GDPR e LGPD, porém, a CCPA deixa de trazer várias obrigações contidas nas legislações hodiernas inovadoras sobre o tema. Por exemplo, não traz obrigações relativas à nomeação de um Encarregado pelo tratamento de dados pessoais, nem suas obrigações, atribuições, formação ou certificação. Cabe às empresas darem cumprimento às requisições de direitos dos consumidores, mas sem existir a obrigação específica de nomeação de um indivíduo ou cargo para tanto.

2.3.DPO na legislação da Ásia

A Ásia hoje é um dos maiores centros de tecnologia e inovação do mundo. Dentro desse contexto, há também uma necessidade de proteção de privacidade e dos dados pessoais dos seus cidadãos, considerando, inclusive, a nova onda de regulação de tecnologias e privacidade que se tem tido nos últimos anos. Focaremos nas legislações do Japão, Coreia do Sul e como consideram a figura do Encarregado pelo tratamento de dados pessoais 19 .

No Japão, a principal legislação sobre o tema é a Lei nº. 57/2003, com alterações significativas em 2016, conhecida como Lei de Proteção de Informações Pessoais – “APPI” 20 , e possui similaridades principiológicas e conceituais com as mais modernas legislações de privacidade e proteção de dados no mundo. A APPI não exige formalmente a nomeação de um Encarregado pelo controlador, porém as diretrizes e guidelines emitidas pela Autoridade de Proteção de Dados do Japão (Comissão de Proteção de Informações Pessoais – “PPC”) determina que os controladores devem adotar medidas de segurança para o tratamento de dados pessoais, sendo uma das medidas de segurança a nomeação de um Encarregado, porém sem determinar ou recomendar quais as atribuições ou características do cargo.

Por outro lado, como o Encarregado é uma figura que não está presente na legislação, mas sua nomeação é recomendada pela PPC e tem sido assim adotado pelo mercado na região, algumas organizações e associações privadas no Japão têm criado qualificações e certificações para o cargo do Encarregado ou equivalente. É o caso da Associação de Crédito dos Consumidores do Japão, que emite uma certificação de “Diretor de Tratamento de Informações Pessoais” (Personal Information Handling Officer qualification) 21 , e da Agência de Promoção de Tecnologia da Informação, que emite uma certificação de Administrador de Segurança de Sistemas de Informação (Information Systems Security Administrator qualification) 22 . Porém essas certificações não foram validadas pela Autoridade Japonesa de Proteção de Dados e não estão previstas na legislação, mas são formas que têm sido aceitas pelo mercado enquanto qualificação profissional do Encarregado.

Quanto à China, embora seja uma das maiores economias locais e do mundo, não há ainda um sistema uniformizado de privacidade e proteção de dados pessoais, ou mesmo informações sobre um cargo de Encarregado pelo tratamento de dados pessoais. Há apenas legislações específicas sobre segurança da informação e outras leis setoriais.

No caso da Coreia do Sul, há uma lei geral voltada à proteção de dados pessoais, a Lei de Proteção de Informações Pessoais (Privacy Information Protection Act – “PIPA” 23 ), de 2011, que possui o mesmo espírito da GDPR e LGPD, quanto aos princípios e conceitos de tratamento de dados pessoais, que traz, inclusive, a obrigação de se nomear um Encarregado pelo tratamento de dados pessoais (lá chamado de Privacy Officer – “Oficial – ou Diretor – de Privacidade”,...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548795/a-formacao-e-certificacoes-do-dpo-data-protection-officer-encarregado-ed-2020