Quem é o Encarregado/DPO na LGPD?
Se o leitor ainda não está familiarizado com a Lei Geral de
Proteção de Dados , sugerimos a leitura do artigo https://www.awdconsultoria.com.br/lgpd-introducao/
que apresenta seus conceitos básicos e facilitará a compreensão do tema que
abordarei neste artigo.
A LGPD traz no seu artigo 5º VIII a previsão legal da figura do Encarregado pela proteção de dados, sendo ele um dos agentes de tratamento.
A GDPR General Data Protection Regulation - (EU) 2016/679, lei de proteção de dados em vigor no Espaço Econômico Europeu, também prevê a existência deste mesmo agente, no entanto lá ele se chama DPO ou Data Protection Officer.
Diferentemente do que prevê a GDPR, no Brasil, segundo a LGPD, a indicação de um Encarregado já é obrigatória para todos que se enquadrem na figura de controlador ou operador. Assim dispõe o art. 23, III c/c art 39 da LGPD :
"Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
[..]
III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e (Redação dada pela Lei nº 13.853, de 2019)"
"Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria."
O que o Encarregado / DPO deve fazer?
Esse agente tem um dos papéis mais importantes nas atividades que envolvem tratamento de dados pessoais.
A lei brasileira dispõe sobre suas atribuições no art.41, §2º sendo elas :
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar
providências;
III - orientar os funcionários e os contratados da entidade a
respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
e
IV - executar as demais atribuições determinadas pelo
controlador ou estabelecidas em normas complementares.
Vê-se que a lei define um papel ainda tímido e basicamente reativo para o nosso Encarregado.
Nesse ponto já se observa que há semelhanças mas também importantes diferenças em relação às funções do DPO na GDPR, eis que nos termos da legislação européia, o papel do DPO é pró-ativo.
A GDPR por sua vez específica no artigo 29 as funções do DPO, sendo elas:
I - informar e aconselhar o controlador ou processador(operador) e os trabalhadores que realizam o tratamento das suas obrigações previstas no regulamento e de outras disposições da União ou dos Estados-Membros em matéria de proteção de dados;
II - monitorar o cumprimento do da GDPR, de outras
disposições da União ou dos Estados-Membros em matéria de proteção de dados e
das políticas do controlador ou do processador (operador) em relação à proteção
de dados pessoais, incluindo a atribuição de responsabilidades, a
sensibilização e a formação do pessoal envolvido no processamento operações e
as auditorias relacionadas;
III - Aconselhar, quando solicitado, no que diz respeito à
avaliação do impacto da proteção de dados e monitorizar o seu desempenho;
IV - Cooperar com a autoridade supervisora;
V - Agir como ponto de contacto da autoridade de supervisão
sobre questões relacionadas com o tratamento, incluindo a consultas prévias sobre
tratamento de dados (artigo 36 GDPR) , e consultar, se necessário, sobre
qualquer outra questão.
Lá, portanto, o DPO deve manter atualizado e eficaz o programa de governança em proteção de dados. Ele tem a responsabilidade de indicar os ajustes necessários para garantir a constante adequação, além de funcionar como intermediário na comunicação entre os titulares de dados e autoridades supervisoras com o controlador/operador.
No Brasil, entretanto, ao menos nesse momento inicial no qual ainda não contamos com a regulamentação da ANPD (Autoridade Nacional de Proteção de Dados), o encarregado ainda tem atribuições limitadas e apenas reativas. Contudo, essa realidade tende a mudar e um indício desta mudança é o disposto no §3º do art.41 da LGPD, que já traz a previsão legal para que a ANPD estabeleça novas atribuições para o Encarregado, vejamos :
"Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
[..]
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados."
Vê-se que apesar de hoje suas funções serem basicamente de servir à comunicação com titulares e ANPD, comunicar incidentes e orientar equipes, pela análise realidade européia, esse leque de atribuições precisará ser ampliado em breve.
É possível afirmar que este cenário é provisório, porque sabemos que a adequação de uma organização à LGPD depende de um programa contínuo, um programa que não se resume a um risk analysis ou gap assessment (análise de riscos na operação e identificação de falhas a serem corrigidas). Tampouco se alcança a conformidade com o simples emprego de softwares de identificação e monitoramento do fluxo de dados da organização.
A conformidade com as leis de proteção de dados demanda:
- conscientização e treinamento de equipe;
- identificação de processos, riscos e falhas;
- elaboração de uma matriz de riscos legais;
- definição de ações (medidas técnicas e organizacionais a serem implementadas) e por fim;
- a criação de um programa de governança de proteção de dados com métricas que permitam sua constante atualização e revisão.
Nesse aspecto, as atribuições do Encarregado se aproximarão daquelas já previstas para o DPO na GDPR. Ele terá o papel fundamental de se manter atualizado não apenas com os dispositivos legais, regulatórios, mas também e principalmente em relação aos processos internos da organização.
A tarefa é árdua e exigirá conhecimento técnico (TI, Segurança da Informação) e de direito digital. Não basta conhecer os aspectos técnicos de um processo realizado pela organização, como o armazenamento em nuvem por exemplo. É preciso saber qual é a legislação aplicada ao contrato que viabiliza esse armazenamento (nacional, internacional), identificar prazos legais que se apliquem à responsabilidade oriunda desse contrato e definir, dentre outros pontos, tempo de retenção de dados e bases legais aplicáveis à hipótese
Também não é suficiente ter conhecimento da legislação aplicável se o Encarregado não tem conhecimento técnico para identificar um processo que demande proteção.
Para ilustrar essa observação podemos citar um exemplo simples. Imagine uma organização que possui contrato para locação ou manutenção de equipamentos de impressão.
O jurídico especializado em direito digital deverá avaliar o contrato firmado com a empresa fornecedora do equipamento e definir uma matriz de riscos legais para essa relação contratual e cláusulas relativas ao tratamento de dados.
No entanto, dificilmente o jurídico terá o conhecimento técnico suficientemente especializado para saber, por exemplo, que impressoras possuem memória interna e que essa memória deve ser apagada, para que os dados não sejam expostos (comprometendo a confidencialidade) quando da manutenção ou troca do equipamento.
O exemplo deixa claro que medidas técnicas e operacionais devem ser implementadas, bem como, que a análise e sugestão dessas medidas caberá ao especialista em TI e Segurança da Informação.
Assim, três pontos ficam claros: em primeiro lugar, o Encarregado já deve ser indicado; em segundo, que a função de Encarregado /DPO demanda especialização multidisciplicar (TI e Jurídico) e; em terceiro lugar, que sua atuação ainda está longe de estar definida, suas atribuições serão muito maiores e mais complexas do que hoje a lei prevê.
Quem pode/deve ser o Encarregado/DPO?
O texto inicial da LGPD previa que o Encarregado deveria ser "pessoa natural", no entanto, ele foi alterado pela MP869, que foi convertida na Lei 13.853/19 e assim, o art.5º, inc.VIII passou a dispor que o Encarregado deve ser uma "pessoa" indicada pelo controlador ou operador.
A mudança é significativa e segue a lógica da GDPR, que autoriza a contratação do DPO as a service, ou seja com base em um contrato de serviço (art.37, "6" GDPR). A organização pode, portanto, contratar uma pessoa jurídica que lhe sirva como Encarregado e cuja equipe conjugue os conhecimentos específicos de direito digital, TI e Segurança da Informação.
Este modelo de contratação é interessante também pelo fato de garantir a autonomia e independência da atuação do Encarregado/DPO, bem como facilitar sua comunicação com a alta diretoria, fatores fundamentais para garantir o sucesso do programa de governança em proteção de dados.
Os desafios ainda são grandes e o futuro incerto, mas não há dúvida quanto à necessária mudança de cultura que se impõe em relação ao uso e proteção de dados. O conceito de governança foi atualizado e compreender as novas responsabilidades da organização, trazidas com as Lei de Proteção de Dados (no Brasil e no exterior), é uma demanda urgente imposta pelo mercado e pela sociedade, cada vez mais consciente de seus direitos nesta área.
Agora mais do que nunca, a transparência do tratamento de dados e atenção com a segurança dos titulares é um fator que definirá o posicionamento da organização em relação aos seus parceiros comerciais e clientes, quiçá sua existência em um novo mercado, mais exigente e preocupado com o destino dos dados pessoais.
A indicação e atuação de um Encarregado/DPO que preencha os requisitos fundamentais ao programa de conformidade pode ser a chave do sucesso nessa empreitada.
Autor :
Walter B. Duque - DPO certificado pela Exin, Advogado, sócio na AWD (www.awdconsultoria.com.br), com formação multidisciplicar pela EMERJ - Escola da Magistartura do Estado do Rio de Janeiro, especialista em direito digital, com certificação pela Opice Blum Academy em LGPD, Exin Privacy & Data Protection Practitioner, Exin Privacy & Data Protection Foundation, Exin Information Security Management Foundation ISO/IEC 270001 pela AdaptNow.
