Você já ouviu falar do “DPO” (Data Protection Officer) ou, como a nossa lei de proteção de dados, a LGPD, o chama, “Encarregado”? Trata-se de um profissional chave, não somente na adequação de uma empresa à LGPD, mas também na proteção dos dados pessoais como um todo.
Em publicação anterior abordamos a LGPD e os principais conceitos trazidos pela nova lei. Neste artigo, falaremos especificamente sobre esse profissional, abordando, em detalhes, questões como as funções a ele atribuídas, o perfil ideal, a posição adequada do Encarregado no organograma da empresa, as diferenças entre a figura do Encarregado na LGPD e a figura do DPO na lei de proteção de dados europeia, dentre outros.
Este artigo também responde a uma questão muito comum quando o assunto é Encarregado/DPO: a LGPD obriga uma empresa a nomear tal profissional? A resposta curta é: “sim, por enquanto”. Vamos explicar, ao longo do texto, o porquê do “sim” e do “por enquanto”.
Índice
O Encarregado de dados pessoais: funções e perfil
De acordo com a definição trazida pela LGPD, o DPO ou Encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Essa definição, constante do artigo 5º, inciso VIII, da Lei coloca o Encarregado como canal de comunicação entre controlador/operador, titulares e ANPD.Os conceitos de “controlador”, “operador”, “titular”, “ANPD” e outros foram abordados no nosso artigo sobre a LGPD. Confira aqui.
De fato, é função do Encarregado aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências em relação a eles. É o Encarregado, além disso, quem recebe comunicações da ANPD e deve adotar as providências pertinentes.
No entanto, as atribuições do DPO/Encarregado vão além de ser a ponte entre controlador/operador, titulares e ANPD. Cabe ao Encarregado, de acordo com o artigo 41, inciso III, da LGPD “orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais”.
Tal orientação, além de compreender treinamentos, palestras, seminários e demais orientações internas na organização, inclui nortear a empresa acerca das salvaguardas de privacidade e dados pessoais em todos os projetos desenvolvidos. É o chamado “Privacy by Design”, no qual o Encarregado tem papel fundamental. É pelo Privacy by Design que a empresa vai criar mecanismos que visem à antecipação de problemas e à entrega de soluções que impeçam violações de privacidade.
Nesse contexto, a privacidade é incorporada ao design dos produtos e serviços da empresa, partindo da ideia de que o titular deve ter o controle para alterar configurações padrão e optar por fornecer ou não seus dados pessoais, e ainda assim conseguir utilizar o produto ou serviço oferecido.
Além disso, pelo Privacy by Design são aplicadas medidas de segurança que visam à proteção total do ciclo de vida do dado pessoal dentro da empresa. Essas medidas devem ser aptas a garantir a segurança dos dados pessoais do titular, o que inclui a garantia da confidencialidade, integridade e disponibilidade dos dados pessoais.
Faz parte das atribuições do Encarregado garantir que a empresa observe os pilares do Privacy by Design. O exercício dessa função exige que o Encarregado possua conhecimento especializado em todo o ordenamento jurídico que se aplique à proteção de dados pessoais.
Assim, é essencial que a pessoa que exerce a função de Encarregado dentro da empresa possua sólido conhecimento da LGPD, da regulamentação setorial de proteção de dados pessoais, da realidade das atividades desempenhadas pela empresa, da natureza, do âmbito, do contexto e da finalidade das operações de tratamento de dados realizados por ela e das necessidades específicas e desafios no que se refere à proteção de dados pessoais.
Dessa forma, o perfil de quem irá exercer a função de Encarregado exige atenção constante à formação, de modo que a pessoa esteja sempre atualizada em relação à proteção de dados pessoais. Em outras palavras, o Encarregado deve se preocupar constantemente com o aprimoramento de seus conhecimentos, especialmente diante da rápida evolução tecnológica e dos riscos inerentes a cada projeto que envolva o tratamento de dados pessoais.
O Encarregado na hierarquia empresa
A definição apresentada pela LGPD sobre o que é o DPO/Encarregado não pode ser lida de forma isolada, sob pena de limitar-se a compreensão do escopo de atuação dessa importante figura e, consequentemente, de limita-se a compreensão global da própria LGPD.
Aliás, observar o debate legal, doutrinário e jurisprudencial sobre proteção de dados pessoais que ocorre na Europa é essencial para a apreensão adequada de tudo o que as normas nacionais se propõem a regular. Afinal, a nossa LGPD é fortemente inspirada na lei europeia, mas, ao contrário dela, não destrincha conceitos básicos, atribuindo à ANPD a regulamentação de diversas questões.
No que tange ao Encarregado, essa necessidade de “beber da fonte” se torna ainda maior e, para falar da posição hierárquica do Encarregado na empresa, buscamos amparo nas orientações do “Grupo de Trabalho do Artigo 29”[1], que aponta as qualidades pessoais que um Encarregado deve ter, como a integridade e ética profissional, já que “desempenha um papel determinante na promoção de uma cultura de proteção de dados no seio da empresa e contribui para dar cumprimento aos elementos essenciais”.
Para que o Encarregado, com as qualidades pessoais apontadas pelo Grupo de Trabalho do Artigo 29, consiga exercer as funções a ele atribuídas (descritas no tópico anterior), ele deve se envolver com todas as questões de proteção de dados, participando das reuniões de gestão da empresa, recebendo informações sobre as atividades de tratamento e interagindo com o mais alto patamar diretivo. Logo, o Encarregado deve estar presente e opinar nas tomadas de decisão da empresa que impactem a proteção de dados pessoais.
O artigo 38 do GDPR, combinado com os entendimentos do Grupo de Trabalho do Artigo 29 e com observações feitas pela doutrina[2], permite-nos fazer alguns apontamentos sobre a posição hierárquica do Encarregado na empresa:
- Deve haver liberdade para o Encarregado quando do exercício de suas funções. Dizendo de outro modo, o Encarregado não deve receber instruções ou ser destituído em razão do adequado exercício de suas incumbências. Essa liberdade deve ser observada mesmo que as recomendações legais do Encarregado sejam desfavoráveis aos negócios da empresa;
- O Encarregado deve receber recursos necessários ao desempenho da sua função e a atualização do seu conhecimento; sua remuneração, adicionalmente, não deve ser atrelada aos ganhos da empresa;
- Ao Encarregado devem ser repassadas todas as informações sobre as atividades de tratamento de dados pessoais realizadas na empresa.
Encarregado: pessoa física ou jurídica? Funcionário da empresa ou terceiro?
A redação original da LGPD previa, como definição de DPO/Encarregado, “pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional”. Nessa redação, a indicação do Encarregado era limitada a uma pessoa física, ou seja, não seria possível a indicação de uma pessoa jurídica que prestasse serviços de Encarregado.
Isso mudou, contudo, com a redação dada pela Lei 13.853/2019, que alterou o previsto no artigo 5º, inciso VIII, para determinar que Encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Portanto, é possível a indicação de um Encarregado pessoa jurídica, sem prejuízo do envolvimento dela em todas as atividades e projetos da empresa relacionados ao tratamento de dados pessoais.
Além disso, é perfeitamente possível que o cargo de Encarregado seja exercido por alguém que já faça parte do quadro de colaboradores da empresa – não há qualquer vedação na LGPD em relação a essa nomeação.
Há, inclusive, vantagens em nomear como Encarregado uma pessoa que já é colaboradora da empresa, já que tal indivíduo conhece a fundo as práticas e a cultura da organização, tornando desnecessário um processo mais longo de adaptação e assimilação que um terceiro precisaria enfrentar.
Porém, ao nomear alguém que já é colaborador da empresa para o cargo de Encarregado, é necessário observar que, como pontua a doutrina de Luis Fernando Prado Vasconcelos Chaves, “o exercício de eventuais (outras) funções dentro da empresa não pode causar qualquer incompatibilidade ou conflito com sua função como Encarregado, a qual deve ser exercida com independência em relação à empresa”.
No mais, reitere-se que, até mesmo para fins de preservação da independência, não é recomendado que a remuneração do Encarregado esteja atrelada aos ganhos da empresa, ou seja, não é recomendado que haja qualquer vínculo entre a remuneração do Encarregado e os resultados da empresa, bônus, ou qualquer outra meta.
O conflito de interesses é ponto extremamente sensível no que se refere ao exercício da função de Encarregado por colaborador da empresa. Se uma das funções do Encarregado é justamente a de monitorar a conformidade das atividades de tratamento de dados pessoais com a regulamentação e as normas vigentes, caso essa pessoa tenha atribuições na empresa que envolvam tratamentos de dados pessoais o monitoramento das suas próprias atividades será, no mínimo, difícil.
Vale mencionar, também, que a LGPD não veda a contratação de um Encarregado pessoa física terceirizado – também conhecido na Europa como DPO as a service.
A propósito, o portal “LGPD Acadêmico” divulgou sua mais recente pesquisa, encerrada em novembro de 2020, sobre o nível de adequação à LGPD, englobando empresas dos mais diversos setores (financeiro, indústria de eletrodomésticos, de bebidas, transporte, telecomunicações, agropecuária, tecnologia, saúde, escritórios de advocacia e também o setor público). O faturamento anual das empresas incluídas na pesquisa vai de mais de menos de R$360 mil a R$1 bilhão.
De acordo com o levantamento, apenas 59% das empresas havia indicado um Encarregado. Em 74% dos casos, o Encarregado já era colaborador da empresa antes da indicação. Ainda, em apenas 15% dos casos o Encarregado não possuía outras atribuições dentro da empresa. A atribuição mais comum que o Encarregado indicado acumula é a da área jurídica (32%), seguida da área de compliance (17%). No tocante à hierarquia interna, em 44% dos casos o Encarregado reporta-se diretamente ao CEO ou ao Presidente da empresa; em 25% dos casos o Encarregado reporta-se ao jurídico.
Responsabilidade civil do Encarregado
Já falamos sobre as funções do DPO/Encarregado dentro da empresa no tocante à proteção de dados pessoais. Entretanto, o fato de o Encarregado possuir tais atribuições não permite concluir, necessariamente, que há responsabilidade pessoal dele pelo tratamento de dados pessoais em face de uma eventual não conformidade da empresa com os requisitos de proteção previstos nas normas de regência.
O artigo 42 da LGPD prevê que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
Observa-se, pois, que o Encarregado não é pessoalmente responsável. O controlador e o operador é quem são os responsáveis por garantir e demonstrar que o tratamento de dados pessoais realizados no exercício regular de atividades da empresa é feito em conformidade com a LGPD.
Certamente, contudo, em caso de dolo na ação do Encarregado no tratamento de dados pessoais, ele poderá responder perante o empregador e até mesmo perante terceiros.
A indicação do Encarregado é obrigatória?
Como referido no início deste texto, a resposta simples e direta é: “sim, por enquanto”. Há, entretanto, dois pontos que a ANPD deverá regulamentar em breve sobre a indicação do Encarregado, ambos no tocante a “quem” deve indicar o DPO/Encarregado.
1. Tanto o controlador quanto o operador deverão indicar um Encarregado?
Tal questão surge quando analisamos a definição de Encarregado trazida no artigo 5º, inciso VIII, da LGPD combinado com o artigo 41 da norma:
Art. 5º (…)
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
Quando essas duas previsões são analisadas lado a lado, fica a dúvida sobre se o controlador também deverá indicar um Encarregado para que esteja em plena conformidade com a LGPD.
2. A obrigatoriedade independe do tamanho da empresa?
O parágrafo 3º do artigo 41 da LGPD prevê que a ANPD poderá estabelecer hipóteses de dispensa da necessidade da indicação do Encarregado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Dessa forma, como a LGPD não estabelece critérios objetivos que obrigam a nomeação do Encarregado, fica a cargo da ANPD o estabelecimento de tais critérios. Diferentemente, há, na regulamentação europeia (GDPR), critérios objetivos para as hipóteses de indicação do DPO. São elas:
- Tratamento efetuado por autoridade ou organismo público, excetuando tribunais no exercício de sua função jurisdicional;
- Atividade principal que importe tratamento de dados pessoais com controle regular e sistemático dos titulares de dados em grande escala, e;
- Atividade principal que importe tratamento de dados pessoais sensíveis, especificamente de origem racial ou étnica, opinião política, convicção religiosa ou filosófica, filiação sindical, bem como dados genéticos, biométricos e dados relativos à saúde, à vida sexual ou à orientação sexual ou dados pessoais relativos a condenações penais e infrações.
As hipóteses de indicação do DPO na lei europeia (artigo 37, I, GDPR) são claras e, mesmo naqueles casos em que não há incidência direta de nenhuma delas, a indicação do DPO é recomendável e representa medida de boa prática em proteção de dados, contribuindo para o atendimento do princípio da responsabilidade.
Dessa maneira, para definir com clareza a obrigatoriedade da indicação do Encarregado à luz da LGPD, será necessário aguardar uma produção normativa da ANPD nesse sentido.
Conclusão
Abordamos, neste artigo, a importância do DPO ou Encarregado na adequação à LGPD.
Trata-se de um profissional multidisciplinar, responsável pela condução e pela manutenção do tratamento de dados pessoais realizado de forma regular em uma empresa.
É esse profissional quem será o responsável pela interlocução entre titular, empresa e ANPD, razão pela qual, como você já sabe após ler este conteúdo, ele é indispensável, sendo também indispensável que as informações sobre a pessoa indicada para a função estejam disponíveis de forma simples e acessível, de preferência no site da empresa e em sua declarada política de privacidade.
Gosta do tema e se interessa por ele? Inscreva-se em nossa newsletter e continue acompanhando nossas publicações sobre a proteção de dados pessoais!
Aproveite para nos avaliar no Google, o seu feedback é muito importante!
*Imagens de Getty Images, no Canva Pro.
[1] O Grupo de Trabalho do Artigo 29 (“Art. 29 WP”), cujo nome completo é “Grupo de Trabalho para a Proteção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais”, era um órgão consultivo composto por um representante da autoridade de proteção de dados de cada Estado-Membro da União Europeia, da Autoridade Europeia para a Proteção de Dados e da Comissão Europeia. O nome “Grupo de Trabalho do Artigo 29“ decorre do fato de sua composição e objetivo terem sido estabelecidos no Artigo 29 da Diretiva de Proteção de Dados (Diretiva 95/46 / CE) O Grupo foi substituído pelo Conselho Europeu de Proteção de Dados (European Data Protection Board).
[2] CHAVES, Luis Fernando Prado. Responsável pelo tratamento, subcontratante e DPO. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR – Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: Ed. RT, 2018. P.134-135.
Trackbacks/Pingbacks