Como tem-se notado, a proteção de dados pessoais tornou-se assunto de grande relevância ao redor do mundo, culminando com a criação de grandes marcos legislativos referentes a tal tema. Temos como grandes exemplos desse movimento a criação da General Data Protection Regulation (GDPR), da União Europeia, e, aqui em terras brasileiras, da Lei Geral de Proteção de Dados (LGPD).
Com a entrada em vigor dessas leis, muitas regras foram impostas aos que se enquadram como agentes de tratamento de dados, gerando a necessidade de que haja grande adaptação aos novos padrões exigidos pela legislação.
A adaptação inicial poder ser feita com auxílio de uma consultoria especializada, sendo que, neste momento, será realizado um inventário de todos os dados tratados e, posteriormente, feita a adequação necessária para eliminar qualquer discrepância entre os procedimentos adotados pelo agente e as disposições legais.
Tem-se, também, que, neste momento inicial, é extremamente importante que sejam revistas as políticas internas e padrões de governança, pois a parte educacional e comportamental são de suma importância para a correta adequação a LGPD, visto que, de nada importa a atualização dos documentos caso os diretores e colaboradores continuem agindo de modo contrário às boas práticas voltadas a proteção de dados pessoais.
Após a implementação, o real trabalho da empresa começa, pois é necessário que seja realizado o atendimento aos direitos dos titulares de dados e a atualização constante às novas normativas emitidas pela Autoridade Nacional de Proteção de Dados (ANPD). Mas, dentro da organização, quem será o responsável por isso? Será papel do administrador, do jurídico, do setor de T.I, ou de quem?
É nesse ponto que entra a figura do encarregado pelo tratamento de dados, o qual também é conhecido como Data Protection Officer (DPO), terminologia utilizada na GDPR.
O encarregado, nos termos do art. 5, VIII, da LGPD, é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Do conceito é importante entender que o encarregado pode ser tanto uma pessoa física quanto jurídica. Digo isso em razão de que, dependendo do porte da empresa, pode ser mais vantajoso contratar uma pessoa jurídica que faça a função de DPO terceirizado do que uma pessoa física para integrar a empresa, visto que, ao contratar uma pessoa jurídica, não existem todas as despesas decorrentes da legislação trabalhista e previdenciária.
Sabendo quem pode exercer a função de encarregado, devemos entender em que consistem as suas atividades.
O art. 42, § 2º, da LGPD prevê as seguintes atribuições ao encarregado:
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Ao ler o conceito e as atribuições legais do encarregado, entende-se que, mesmo existindo a menção a orientação funcionários, sua função principal seria “fazer o meio de campo” na comunicação entre o controlador/operador e os titulares de dados e ANPD. Temos, então, que a função do encarregado seria mais reativa do que proativa, visto que, conforme defende Henrique Fabretti Moraes[1], “atuaria quando provocado pelos titulares de dados ou pela ANPD”.
Mesmo diante de suas atribuições descritas na lei nacional, o mercado brasileiro vem buscando encarregados que, além do disposto, também exerçam funções parecidas com as expostas na GDPR, onde há uma preocupação com a tomada de decisões no sentido de monitorar e assegurar a conformidade legal do tratamento de dados da empresa.
Sobre essa busca por profissionais que atendam funções além das legais, Henrique Fabretti Moraes relata:
(…) o que se tem visto em organizações brasileiras que buscam estabelecer Programas de Privacidade robustos é a definição de papéis e responsabilidades mais amplos, dando ao Encarregado a função de compliance dentro da governança de dados pessoais, aproximando-o da figura presente na GDPR.
Tal situação não poderia ser diferente, já que a escassez de profissionais de privacidade no mercado, aliada à necessidade de as organizações se adequarem à LGPD, faz com que, ao buscarem ou capacitarem um profissional para atuação como Encarregado, esperem que suas atividades sejam mais abrangentes e estratégicas, já direcionadas ao atendimento do princípio do accountability e dos requisitos previstos no art. 50 da Lei Geral de Proteção de Dados Pessoais.[2]
Além dessa exigência de diferentes atribuições por parte do mercado, conforme o § 3º, do art. 41, da LGPD, a ANPD poderá editar novas normas sobre a definição e atribuições do encarregado, ou seja, há grandes possibilidades de que haja mudanças quanto ao que pode ser exigido dos encarregados de dados.
Por fim, mas não menos importante, em relação a obrigatoriedade da contratação de um encarregado/DPO, ainda não se pode afirmar com total certeza quem deverá ou não efetivar referida contratação, pois o § 3º, do art. 41, prevê que a ANPD poderá estabelecer normas relativas a “hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.
A única coisa que pode ser afirmada é que não seria uma surpresa se houvesse a dispensa do encarregado/DPO para microempresas e empresas de pequeno porte, visto que, tanto a LGPD quanto outras leis defendem o tratamento diferenciado e facilitado para essas categorias de empresas.
Diante do exposto, entende-se que, ao contrário da figura majoritariamente reativa prevista na LGPD, o mercado exige que o encarregado assuma papel de maior importância para o funcionamento da empresa, exercendo uma função proativa, no sentido de, além de cumprir com as atividades descritas na lei, manter vigilância e promover a adequação dos procedimentos internos às normativas legais e às editadas pela ANPD.
Deste modo, mesmo podendo não ser figura obrigatória para todas as empresas, a contratação de um encarregado pode representar maior segurança para o agente de tratamento de dados, pois terá alguém constantemente preocupado e trabalhando para manter os procedimentos da empresa em conformidade com as disposições da LGPD.
Gustavo Batagini Advocacia e Consultoria Jurídica
Tel: 41 99209-180
E-mail: gustavo@gbatagini.adv.br