Data Protection Officer (Encarregado) - Ed. 2020

Data Protection Officer (Encarregado) - Ed. 2020

A Formação e Certificações do Dpo

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Pedro Nachbar Sanches 1

Tiago F. Campanholi dos Santos 2

1.Introdução

O Encarregado pelo Tratamento de Dados Pessoais, termo trazido pela Lei Geral de Proteção de Dados equivalente ao Data Protection Officer – DPO, da GDPR, presente também em outras legislações de privacidade e proteção de dados ao redor do mundo, possui uma importância indiscutível dentro de qualquer programa de privacidade e proteção de dados pessoais. Suas responsabilidades, deveres, obrigações e direitos, junto aos titulares de dados pessoais, às áreas internas das companhias e às Autoridades de Proteção de Dados, já foram abordados em outros capítulos do presente livro.

Porém, qual deve ser a formação do DPO? Ele deve ser um profissional com habilidades e formação da área de Tecnologia de Informação, Segurança da Informação, Jurídico, Auditoria ou de Compliance e Governança? Ele deve possuir certificados específicos para assumir a função? Há algum requisito legal sobre esses assuntos na LGPD e em outras legislações ao redor do mundo?

Neste capítulo, discorreremos sobre qual pode ser a formação do DPO, suas habilidades e requisitos legais no Brasil e nos principais países do mundo, qual suas principais características considerando o ecossistema global de leis de privacidade e proteção de dados, e quais certificações são interessantes para auxiliar o DPO em sua capacitação e treinamento diante do atual contexto e maturidade da LGPD no Brasil.

2.Leis de Privacidade e Proteção de Dados no mundo e a formação e certificações do Encarregado pelo Tratamento de Dados Pessoais

A Lei Geral de Proteção de Dados representa um novo marco legislativo no Brasil no que diz respeito à proteção da privacidade e dados pessoais. Muito embora ainda não se tenha uma cultura enraizada e estabelecida no país como há em outros países (principalmente Europa) com relação ao assunto, o Brasil faz parte de um contexto global de novas legislações que visam proteger a privacidade e dados pessoais de seus cidadãos dentro do cenário de manipulação e tratamento em massa de dados pessoais, principalmente nos meios digitais.

Tendo em vista a falta de definição que ainda existe no Brasil quanto a quem deve ser o Encarregado pelo Tratamento de Dados Pessoais, quais são seus requisitos, habilidades, contexto e histórico profissional, formação, certificações e atribuições, buscaremos expor como as outras legislações de privacidade e proteção de dados pessoais que existem ao redor do mundo, que já possuem uma conjuntura mais madura que o Brasil, tratam sobre este assunto.

2.1. DPO na legislação da América Latina

Antes do Brasil, vários países da América Latina já haviam aprovado legislações de privacidade e proteção de dados pessoais, incluindo Argentina, Uruguai, Chile e México. Ao contrário do Brasil, esses países já tinham legislações específicas sobre o assunto desde o final dos anos 90 e início dos anos 2000, num período pré-GDPR. A influência da GDPR, porém, foi inevitável, de forma que suas leis estão também passando por reformas por ainda não possuírem todas as características utilizadas globalmente pelo contexto GDPR, CCPA e LGPD.

Na Argentina, a Lei de Proteção de Dados nº 25.326/2000 3 e seu Decreto regulador nº 1558/2001 4 não possuem qualquer disposição sobre a nomeação de um Encarregado ou quais seriam seus requisitos legais ou habilidades. Porém, há um projeto de lei para alterar a Lei de Proteção de Dados, Projeto MEN-2018-147-APN- DNPDP 5 , submetido em 19 de setembro de 2018 (influência da pós-vigência da GDPR) pelo Poder Executivo da Argentina, ainda em discussão no Congresso, que traz a figura do Encarregado (lá chamado de Delegado de Protección de Datos).

O art. 43 do projeto de lei estabelece em quais situações o controlador deverá nomear um Encarregado, com redação similar à da GDPR. Traz também, em tradução livre, que “a designação do Encarregado pelo tratamento de dados pessoais deve recair em uma pessoa que reúna os requisitos de idoneidade, capacidade e conhecimentos específicos para o exercício de suas funções” (grifo nosso), bem como que o Encarregado pode exercer outras funções desde que não existam quaisquer conflitos de interesse.

No Uruguai, a Lei 18.331/2008 6 , Lei de Proteção de Dados Pessoais e Ação de Habeas Data e seu Decreto regulador nº 414/ 009 de 2009 7 , não possuía disposições específicas sobre o tema. Porém, após a vigência da GDPR em 2018, foi aprovada a Lei nº 19.670 8 , que alterou a Lei de Proteção de Dados e traz em seu art. 40 a figura e funções do Delegado de Protección de Datos, cujo requisito foi apenas descrito como “o delegado deve ter as condições necessárias para o desempenho adequado de suas funções e atuará com autonomia técnica”.

No mesmo sentido, no Chile, a Lei nº 19.628/1999 9 , Lei de Proteção da Vida Privada, possuía disposições sobre a proteção de informações no âmbito da vida privada, mas fora do contexto atual de privacidade e proteção de dados. Havia apenas uma disposição na Lei nº 22.575/2012 10 , que complementou a lei anterior e estabeleceu o princípio da finalidade no tratamento de dados pessoais, em seu art. 4º, que “os distribuidores de registros pessoais, financeiros, bancários ou comerciais ou bancos de dados pessoais devem designar uma pessoa física encarregada pelo tratamento de dados, para que os proprietários dos dados possam recorrer a ele para fins de aplicação dos direitos trazidos pela Lei nº 19.628, sobre a proteção da vida privada”.

Outrossim, em março de 2017, foi apresentado o Projeto de Lei nº 11144-07 11 , que regulamenta o tratamento e a proteção de dados pessoais e cria a autoridade de proteção de dados pessoais, ainda em discussão no Congresso. O art. 52 do projeto de lei estabelece a obrigatoriedade de nomeação de um Encarregado, bem como que o controlador deverá garantir que o Encarregado, em tradução livre “tenha meios e poderes suficientes para desempenhar suas funções e conceder a ele os recursos materiais necessários para desempenhar adequadamente suas tarefas, levando em consideração o tamanho e a capacidade econômica da entidade”.

No México, há a Lei Federal de Proteção de Dados Pessoais em Posse dos Particulares, de 5 de julho de 2010 12 , que determina a nomeação de um Encarregado pelo Tratamento de Dados, suas atribuições e funções, porém não há critérios específicos de habilidades, formação ou requisitos legais para a nomeação do Encarregado ou para o cargo.

2.2.DPO na legislação da América do Norte

Na América do Norte, hoje, tem-se três principais conjuntos de legislações sobre privacidade e proteção de dados pessoais: Canadá (com uma legislação que vem desde os anos 80, num conjunto complexo de normas a …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
15 de Agosto de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548795/a-formacao-e-certificacoes-do-dpo-data-protection-officer-encarregado-ed-2020