No começo de 2019, houve a publicação pela Agência Espanhola de Proteção de Dados (AEPD) acerca da necessidade de informar, dentro de um período de dez dias, o nomeado Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer ou DPO, como é conhecido globalmente) por cada empresa.
Após quatro anos dessa regulamentação e algum tempo a mais da entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD), a AEPD divulgou, em janeiro de 2023, a existência de aproximadamente 100 mil registros de DPOs em seu banco de dados.
Essa informação pode refletir a preocupação das empresas espanholas em cumprir a legislação, nomeando e registrando DPOs, a fim de garantir a adequada manipulação de dados pessoais.
Apesar da implementação da Lei Geral de Proteção de Dados Pessoais (LGPD) em 2020 e das penalidades aplicáveis pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD) por descumprimento da LGPD em 2021, a maioria das empresas brasileiras ainda não demonstrou sensibilidade em relação à obrigação de nomear o Encarregado, em comparação com o cenário espanhol.
Do ponto de vista estatístico, surge uma questão interessante: considerando que os 100 mil DPOs registrados refletem a legislação europeia em vigor desde 2018, qual seria a expectativa para o Brasil – o país mais populoso, com o maior número de empresas do mundo (conforme informações do governo federal, existem aproximadamente 20,2 milhões de empresas ativas) e cuja LGPD está seguindo um caminho semelhante ao RGPD?
É verdade que o RGPD, ao contrário da LGPD, estabelece claramente em quais situações as organizações são obrigadas a nomear um DPO, assim como a obrigação de comunicar essa nomeação à Autoridade Supervisora competente. Essa obrigação de comunicação também se aplica às organizações que desejam nomear um DPO de forma voluntária, sem uma exigência legal – o que pode explicar ainda mais os números registrados pela AEPD.
Para facilitar o contato com cada DPO nomeado, a AEPD disponibiliza em seu site o “Registro Público DPD”. Trata-se de um mecanismo gratuito e de livre acesso que permite que qualquer indivíduo entre em contato com o DPO de uma organização específica para obter mais informações sobre o tratamento de seus dados pessoais, exercer seus direitos ou apresentar uma solicitação. Atualizado diariamente, esse recurso requer apenas que o titular indique o nome, a razão social ou o CNPJ da organização desejada.
A legislação europeia estabelece diversas circunstâncias que determinam a obrigação de nomear um DPO. Entre elas, destaca-se a exigência de designação de um DPO pelo “controlador” (responsável pelas decisões relacionadas ao tratamento de dados pessoais) e pelo “processador” (responsável por processar dados pessoais em nome do controlador), quando (i) o tratamento for efetuado por uma autoridade ou organismo público – com exceção dos órgãos jurisdicionais que atuem no exercício das suas funções; (b) suas atividades principais exigirem o monitoramento regular e sistemático em grande escala dos titulares dos dados; ou (c) suas atividades principais consistirem no tratamento de uma grande variedade de categorias especiais de dados e de dados pessoais relativos a condenações penais e infrações.
Em contraste, a LGPD, no seu artigo 41, estabelece apenas que “o controlador de dados deve nomear um encarregado pelo tratamento de dados pessoais” . Não especifica, portanto, (i) as hipóteses de dispensa da necessidade de indicação do Encarregado em razão da natureza e porte da entidade ou o volume de operações de tratamento de dados pessoais em questão, (ii) se tal “pessoa” deve ser física ou jurídica, se deve ser um funcionário da organização ou um agente externo – o que pode facilitar tal nomeação àquelas organizações que possuem estrutura, autonomia ou mão-de-obra mais limitada, (iii) tampouco, a LGPD define os critérios técnicos exigíveis para a função do Encarregado – apesar de no projeto de lei constar dispositivo que continha esse tipo de definição, mas que acabou não sendo aprovado.
Dessa forma, embora não abranja todas as obrigações passíveis de questionamento, cabe à ANPD regulamentar o assunto. Levando em consideração os diversos cenários de implicação já definidos em outros lugares, não seria exagero questionar em que estágio se encontra a legislação brasileira.
Apesar de apresentar atualmente uma maior flexibilidade em relação a certos aspectos mencionados anteriormente, a LGPD ainda requer que a identidade e as informações de contato do Encarregado sejam divulgadas publicamente, de maneira clara e objetiva, preferencialmente no site do controlador.
No entanto, devido à falta de previsão legal ou regulamentar, atualmente não há necessidade de comunicar ou registrar a identidade e informações de contato do Encarregado junto à ANPD, conforme indicado no mais recente Guia Orientativo publicado.
Diferentemente da versão atual, as orientações divulgadas na versão original do Guia não pareciam ser medidas provisórias da autoridade brasileira, o que poderia indicar a eventual exigência de comunicação e registro do Encarregado como uma obrigação futura, que pode se concretizar em um futuro próximo. Nesse contexto, se a ANPD seguir o exemplo da Agência Espanhola, a ausência de um Encarregado pode chamar mais atenção do que a presença dele.
Quem busca esse tipo de atenção?
No cenário pós-regulamentação de proteção de dados, uma certeza é incontestável: a Europa permanece como um modelo para o Brasil. Diante das múltiplas características que distinguem essas duas realidades examinadas, uma verdade se destaca: a relevância do DPO para empresas verdadeiramente maduras em termos de proteção de dados.
Considerando a importância crucial de as organizações brasileiras acompanharem o cenário internacional e se adiantarem no cumprimento de responsabilidades tão sensíveis como essa.
Se “a comparação é o ladrão da comemoração”, cabe aos empreendedores e organizações brasileiras entenderem a importância do Encarregado como peça chave na liderança da estrutura organizacional do cumprimento com a LGPD e demais legislações aplicáveis e refletirem, também por meio de números expressivos – e com inspiração naqueles internacionais, referidos no início deste artigo – que superaram a mentalidade do medo de multas e sanções e adotaram, de vez, a conformidade como um recurso para sobreviver a um mercado global movido a dados.
- Fonte: Jota
- Imagem: Freepik
- 15 de maio de 2023