Compliance no Direito Digital - Vol.3 - Ed. 2021

Compliance no Direito Digital - Vol.3 - Ed. 2021

Compliance no Direito Digital - Vol.3 - Ed. 2021

Compliance no Direito Digital - Vol.3 - Ed. 2021

11. As Funções e a Atuação do Dpo no Gdpr e do Encarregado na Lgpd

11. As Funções e a Atuação do Dpo no Gdpr e do Encarregado na Lgpd

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autor:

FELIPE PALHARES

Bacharel em Direito pela Faculdade de Ciências Sociais de Florianópolis (CESUSC); Pós-graduado em Direito Empresarial pela Fundação Getulio Vargas – FGV/SP; Pós-graduado em Direito Societário pelo Instituto de Ensino e Pesquisa – INSPER; Mestre (LL.M.) em Corporate Law pela New York University – NYU. Primeiro brasileiro a ser reconhecido como Fellow of Information Privacy e o único brasileiro a ter obtido todas as certificações de privacidade e proteção de dados da International Association of Privacy Professionals – IAPP (CIPP/E, CIPP/US, CIPP/C, CIPP/A, CIPM, CIPT). Certificado em Privacy and Data Protection Foundation pela EXIN. Certificado como Data Protection Officer pela Maastricht University. Certificado como Data Privacy Solutions Engineer pela ISACA (CDPSE). Professor convidado de matérias de proteção de dados pessoais do INSPER, da FGV/Rio e da Damásio/IBMEC. Co-fundador da Brazilian Legal Society at NYU School of Law. Selecionado pela Law Society e pelo Bar Council of England and Wales para ser um dos representantes brasileiros no 6th Latin American Young Lawyers’ Exchange Program. Palestrante internacional, convidado para palestrar em eventos como o IAPP Data Protection Intensive: UK 2020, o IAPP Global Privacy Summit 2020 e o IAPP Summit Sessions 2020. Coautor do livro “LGPD – Manual de Implementação”. Coordenador do livro “Temas Atuais de Proteção de Dados”. Autor de diversos artigos sobre proteção de dados publicados em periódicos internacionais e nacionais, como Valor Econômico, Estadão, JOTA, Conjur e DataGuidance. Advogado, admitido para a prática jurídica no Brasil e no Estado de Nova York (EUA). Sócio fundador do Palhares Advogados, reconhecido como um dos melhores escritórios de advocacia do Brasil na área de proteção de dados em 2020 pelo ranking internacional Leaders League. https://www.linkedin.com/in/felipepalhares/ . felipe@palharesadvogados.com

1.Introdução

Os recentes regimes de proteção de dados desenvolvidos ou atualizados ao redor do mundo passaram a dar grande enfoque à figura de um profissional específico, responsável pelo aconselhamento das organizações, público e privadas, sobre suas práticas de tratamento de dados pessoais, bem como pela intermediação do contato entre essas organizações, os titulares de dados e os órgãos reguladores.

O cargo de Data Protection Officer, ou, na legislação pátria, de Encarregado pelo Tratamento de Dados Pessoais, embora não se trate de uma figura eminentemente nova a nível mundial, começou a ser uma imposição moderna de diferentes leis globais de proteção de dados, a exemplo do General Data Protection Regulation (GDPR) e da Lei Geral de Proteçâo de Dados Pessoais ( LGPD).

No Brasil, mais do que uma função específica e mandatória, o Data Protection Officer, na sua sigla DPO, passou a ser uma designação adotada por diversos profissionais no mercado que buscam por uma colocação profissional na área de proteção de dados, ainda que atualmente não exerçam de fato tal função, nem ocupem o respectivo cargo em nenhuma organização. DPO também passou a ser um termo empregado em certificações relacionadas à área de proteção de dados, no sentido de credenciar os profissionais com os conhecimentos técnicos necessários para essa atuação.

Diante do enorme mercado de trabalho existente para a função no País, haja vista a vastidão de empresas e órgãos públicos que precisarão nomear um Encarregado pelo Tratamento de Dados Pessoais, é natural que surjam cada vez mais questionamentos sobre as especificidades da função e sobre como o ordenamento jurídico e os órgãos reguladores abordarão as suas atribuições e deveres.

O número de profissionais que será necessário para atender a demanda no Brasil deve, inclusive, superar as métricas europeias. No final de 2016, um pouco mais de um ano antes da entrada em vigor do GDPR em sua plenitude, a International Association of Privacy Professionals (IAPP) realizou um estudo que indicava que o Regulamento Europeu de Proteção de Dados criaria uma necessidade de pelo menos 75 mil DPOs ao redor do mundo. 1 Em maio de 2019, quase um ano após a entrada em vigor do GDPR, um novo estudo conduzido pela IAPP estimou que 500 mil organizações tinham registrado um respectivo Data Protection Officer, demonstrando o elevado crescimento da função. 2

O intuito do presente artigo é, ainda que não exaustivamente, investigar as origens da concepção do Data Protection Officer, as regras relativas à função no âmbito da União Europeia em razão do GDPR, as definições legais previstas na LGPD, comparando as similaridades e as diferenças desses dois regimes, especialmente no sentido de identificar quais poderão ser os caminhos adotados no Brasil no que tange ao cargo de Encarregado.

Ainda, pretende-se avaliar alguns precedentes internacionais que envolvem o cargo de Data Protection Officer, estudando tanto decisões que já foram tomadas por órgãos reguladores sobre a função, bem como diretivas estabelecidas no âmbito internacional, que também tendem a servir como paradigmas para a interpretação que será adotada no Brasil em relação ao Encarregado, especialmente em alguns casos específicos que possam trazer maiores complicações, a exemplo de eventuais conflitos de interesse para o exercício da função.

2.Origens

Embora as discussões sobre a criação de um cargo específico para cuidar especialmente das operações de tratamento de dados pessoais de uma organização tenham se acentuado no panorama global mais recentemente, a concepção de um Data Protection Officer, ou de outro cargo com atribuições semelhantes e nomenclatura um pouco diversa, já existe há quase 50 anos.

Em outubro de 1970, foi criada a primeira legislação do mundo sobre proteção de dados pessoais, editada pelo Estado de Hessen, na Alemanha, intitulada de Hessisches Datenschutzgesetz, a Lei de Proteção de Dados de Hessen. Não bastasse ser a norma originária sobre o tema, também foi a primeira legislação a trazer a conceituação do Data Protection Officer (Datenschutzbeauftragter), prevista em sua Seção 7 e seguintes 3 , indicado como o profissional nomeado pelo parlamento local, tendo como responsabilidade monitorar a conformidade com a legislação de proteção de dados e informar à Autoridade Supervisora eventuais violações à lei.

Em maio de 1973, a Suécia aprovou sua Lei de Proteção de Dados, a primeira norma em nível federal a tratar especificamente sobre proteção de dados. Não obstante a legislação sueca não traga expressamente a conceituação da figura do Data Protection Officer, em sua Seção 8, a lei indica que o controlador nomeará uma ou mais pessoas para auxiliar os titulares de dados nos casos de suspeita de dados incorretos ou enganosos e para serem encarregadas pela notificação ao respectivo titular. As informações sobre quem foi nomeado para tal função devem ser mantidas publicamente disponíveis pelo controlador. 4

Em janeiro de 1977, a Alemanha editou sua primeira legislação em nível federal de proteção de dados, intitulada Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung (em tradução livre, a lei para proteção contra o uso indevido de dados pessoais no tratamento de dados), mais conhecida como Bundesdatenschutzgesetz (BDSG), a Lei Federal de Proteção de Dados.

A BDSG foi a legislação inaugural, em âmbito federal de uma nação, a estabelecer não só o conceito de Data Protection Officer, mas também a definir alguns casos de obrigatoriedade de sua nomeação, suas atribuições e responsabilidades 5 . De acordo com as exigências da Seção 28 e seguintes da redação original da lei, empresas que processavam dados pessoais de forma automatizada e que tinham mais de 5 funcionários precisavam nomear um DPO, da mesma forma em que companhias com mais de 20 funcionários que tratavam dados pessoais de modo não automatizado também estavam sujeitas a essa obrigação. 6 Vale notar que a exigência de nomeação de um Data Protection Officer nessas condições é ainda mais elevada do que as obrigações de nomeação de referido profissional estabelecidas pelo GDPR, como se verá adiante.

As previsões contidas na redação da BDSG de 1977 também já estipulavam que o DPO deveria ser nomeado com base no seu conhecimento especializado no tema e na sua confiabilidade, que ele deveria reportar diretamente ao dono da empresa ou ao conselho de administração da companhia, que não deveria receber instruções sobre como realizar o seu trabalho e que não poderia ser punido por cumprir com suas tarefas. 7 Os dados de contato do DPO deviam ser apresentados nos registros da companhia relativos ao tratamento de dados pessoais e a falta de nomeação de um DPO, quando o seu apontamento era obrigatório, era uma violação punível com uma sanção pecuniária.

Em maio de 1993, a Nova Zelândia também passou a contar com uma legislação federal sobre proteção de dados, intitulada de Privacy Act. Embora não haja menções ao cargo de Data Protection Officer, a lei estabelece, em sua Seção 23, a obrigação de cada agência ter pelo menos um Privacy Officer, responsável pelo …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
30 de Junho de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1250395778/11-as-funcoes-e-a-atuacao-do-dpo-no-gdpr-e-do-encarregado-na-lgpd-compliance-no-direito-digital-vol3-ed-2021