Data Protection Officer (Encarregado) - Ed. 2020

A Relação do Data Protection Officer (Dpo) Com os Reguladores

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Luciano Benetti Timm 1

Renato Vieira Caovilla 2

Rodrigo Dufloth 3 , 4

I.Introdução: objetivo e limitação do artigo

O objetivo do presente artigo é analisar a figura do Data Protection Officer (“DPO”) — ou “Encarregado” 5 , conforme definição trazida pela nossa Lei nº 13.709/2018 (conforme alterada, a Lei Geral de Proteção de Dados ou “LGPD”) — com enfoque na sua relação com o regulador (ou, melhor dizendo, os reguladores, como explicaremos adiante). Dado que este estudo se insere no contexto de obra destinada a analisar o tema do DPO sob diversos prismas, não adentraremos em pormenores quanto à definição do seu conceito, aspectos históricos, responsabilidades detalhadamente (mas unicamente quando ligado à relação com reguladores) etc., de maneira que este artigo se limita ao enfoque da relação do DPO com as autoridades pertinentes.

Ainda, valer-nos-emos de comparações com outros países sempre que nos parecer uma contribuição válida para o escopo deste trabalho, especialmente com a União Europeia, uma vez que a LGPD, como é notório, inspirou-se em boa parte no Regulamento Geral de Proteção de Dados (2016/679) ou General Data Protection Regulation (o “GDPR”). Na União Europeia, considerando que o GDPR já se encontra vigente desde maio de 2018 (além de que há normativos que tratam de privacidade de dados pessoais há décadas), há um maior grau de maturidade quanto ao tema, motivo pelo qual nos parece ser importante estabelecer paralelos sempre que oportuno para o desenvolvimento do estudo.

Feitos tais esclarecimentos iniciais, dividimos este estudo da seguinte forma: (a) em um primeiro momento, analisaremos o que a LGPD prevê no que se refere à atuação do DPO e sua relação com autoridades (notadamente, a ANPD, mas sem prejuízo de outras, como veremos adiante); (b) para na sequência estabelecermos um paralelo com as atribuições do DPO no GDPR e como o assunto é tratado na União Europeia; (c) após, teceremos considerações sobre a competência da ANPD e de outras autoridades, no que se refere à proteção de dados pessoais, uma vez que não nos parece que a ANPD exclua a atuação de outras autoridades (como no campo de proteção ao consumidor); (d) a seguir, faremos reflexões quanto à responsabilidade do DPO para além da LGPD e da relação com outras autoridades, traçando uma linha de contato com a atividade do compliance officer; e (e) encerrarmos com alguns comentários sobre a prática na relação com os órgãos reguladores.

II.A atuação do DPO e sua relação com as autoridades, nos termos da LGPD

Inicialmente, vale notar que a LGPD conceitua o DPO como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados” (“ANPD”) (art. 5º, VIII). Um relevante fato é que essa redação foi estabelecida após a Medida Provisória nº 869/2018 (“MP 869”), posteriormente convertida na Lei nº 13.853/2019, cabendo mencionar que, originariamente, na LGPD, a redação prevista trazia a definição iniciando como “pessoa natural”, ao passo que, por meio da MP 869, posteriormente convertida em lei, a palavra “natural” fora suprimida, restando, pois, o fato de que o DPO poderia ser pessoa natural ou jurídica.

Também foi por meio da Lei 13.853/2019 que foi retirada a obrigação de o DPO possuir “conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados”, que era a proposta original. Embora fosse louvável essa exigência, estando, inclusive, alinhada com o que prevê o art. 37 do GDPR 6 , a justificativa aventada foi que seria excessivamente onerosa às organizações esse requisito, diante da amplitude e número de empresas no Brasil: em nosso País, há 6,4 milhões de estabelecimentos, dos quais 99% (noventa e nove por cento) são micro ou pequenas empresas, conforme dados do Serviço Brasileiro de Apoio às Micro e Pequenas Empresas – SEBRAE 7 .

Ainda, foi suprimida a exigência de autonomia técnica e profissional do cargo. Em que pese essa ser uma decisão que possa continuar sendo tomada pelas organizações, a ausência de previsão legal nesse sentido pode ser vista como temerária, tendo em vista a necessidade de ser garantida certa independência do DPO para que possa desempenhar suas funções de maneira adequada. A bem da verdade, como se verifica da experiência europeia (da qual trataremos adiante), o DPO não se traduz em figura que atua meramente para resguardar os interesses do agente de tratamento, mas, sim, como ator responsável por garantir o cumprimento da legislação de proteção de dados. Conforme disposto nas Guidelines on Data Protection Officer (‘DPOs’), do Article 29 Data Protection Working Party: Personal qualities should include for instance integrity and high professional ethics; the DPO’s primary concern should be enabling compliance with the GDPR 8 .

No que diz respeito à comunicação inerente à posição, caberá ao DPO auxiliar e, por vezes, desenhar, o procedimento de atendimento dos direitos dos titulares, a fim de garantir que, uma vez acionado o agente de tratamento, o titular de dados possua um atendimento adequado e tenha seus direitos resguardados. Para tal, será necessário, com certeza, todo treinamento referente ao cumprimento dessas obrigações referentes aos direitos dos titulares, a fim de garantir que, recebida uma solicitação, o procedimento garanta, por exemplo, a correta identificação dos dados pessoais tratados pelo agente de tratamento, a adequada resposta ao titular de acordo com sua solicitação, eventual análise principiológica envolvendo os princípios da necessidade e adequação, referente ao direito previsto pelo art. 18, III e IV, da LGPD, e assim por diante.

Ademais, o cumprimento à legislação de proteção de dados (em que o DPO exerce papel-chave) deverá ser implementado inclusive mediante a atuação do DPO como um canal de comunicação e facilitador perante as autoridades. Nesse sentido:

“O DPO é a pessoa que atuará como canal de comunicação perante os titulares dos dados pessoais e aos órgãos reguladores. Ele deverá supervisionar todas as práticas de tratamento de dados pessoais dentro da organização e verificar se estas estão em conformidade com a futura Lei Geral e setoriais de proteção de dados pessoais.

Para isso, o DPO deverá ter condições de realizar Privacy Impact Assessments (PIA), relatórios de impacto à privacidade e proteção de dados pessoais decorrente das atividades dentro da organização. O DPO deverá, também, estar diretamente envolvido no desenvolvimento de produtos, serviços e na formulação de políticas públicas para que a proteção da privacidade seja delas um valor de concepção, por meio de metodologias conhecidas como privacy by design e data protection by design.9

E, ao analisarmos as responsabilidades de comunicação às autoridades – e ao titulares de dados –, como em caso de incidentes de segurança nos moldes do art. 48 da LGPD 10 , fato é que tal artigo deixa claro que a responsabilidade pelo incidente de segurança e pela comunicação não é do DPO, mas, sim, do agente de tratamento – no caso, o controlador. Entretanto, é relevante o fato de que o DPO é responsável pela interação entre agente de tratamento e as autoridades, o que enseja sua responsabilidade em garantir que a comunicação do controlador alcance de maneira adequada as autoridades. Para tal, outro procedimento parece ser necessário, a fim de garantir, por exemplo, a própria identificação adequada de um incidente de segurança, que enseje comunicação. Nesse sentido, uma atuação conjunta do DPO com o controlador, a fim de melhor desenhar o procedimento, parece crucial à adequação à LGPD.

Merece destaque o art. 41 da LGPD, posto que contém algumas disposições específicas sobre o DPO, tais como a necessidade de que “[a] identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador” (art. 41, § 1º), bem como que ao DPO caberá “receber comunicações da autoridade nacional e adotar providências” (art. 41, § 2º, II). Por trás de sua função de integração de canais, cabe observar com cautela tal dispositivo, uma vez que sua redação implica que o DPO deva ter suas informações de contato públicas, preferencialmente em site do controlador.

O que parece ser uma mera disponibilização de contato resulta no aspecto de que, por vezes, o DPO será a primeira linha de contato entre o titular de dados e o controlador, ou entre as autoridades e o controlador. A depender do teor da comunicação, é crucial que o DPO esteja apto a endereçar adequadamente a demanda e responder de forma satisfatória, dentro...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548796/a-relacao-do-data-protection-officer-dpo-com-os-reguladores-data-protection-officer-encarregado-ed-2020