A Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais, LGPD) está em vigor desde o dia 18 de setembro de 2020 [1], ou seja, há mais de um ano, e muitas organizações possuem dúvidas quanto à nomeação do encarregado pelo tratamento de dados pessoais (DPO — data protection officer).
O artigo 5, inciso VIII, da LGPD dispõe que o encarregado será uma “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Já o caput do artigo 41 da LGPD dispõe que “o controlador deverá indicar encarregado pelo tratamento de dados pessoais”.
Dessa forma, em decorrência das dúvidas acerca da nomeação do encarregado pelas organizações, no âmbito privado — o artigo 23, III, da LGPD prevê a nomeação no setor público —, em maio deste ano a ANPD elaborou um excelente “guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado”, que são orientações não vinculantes, que dispõem expressamente que, como “a LGPD não determinou em que circunstâncias uma organização deve indicar um encarregado”, “deve-se assumir, como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel” [2].
Ressalte-se que no dia 30 de agosto a ANPD publicou a minuta de resolução que regulamenta sobre os agentes de tratamento de pequeno porte e, no que tange à parte referente ao encarregado de proteção de dados, consta que que tais agentes de tratamento não são obrigados a nomeá-lo e, se porventura não houver a sua nomeação, a organização deverá disponibilizar um canal de comunicação com o titular de dados [3].
Pelo fato de a União Europeia possuir um maior amadurecimento sobre o tema de proteção de dados, ante a ausência de regulamentação de alguns assuntos previstos na LGPD, é interessante olhar para o modelo europeu para que as boas práticas internacionais sejam aplicadas no contexto brasileiro.
Assim, mesmo após a manifestação da ANPD em seu guia orientativo acima mencionado, sobre a indicação do encarregado como regra geral, se porventura a organização se encaixar nas duas, das três hipóteses obrigatórias de nomeação do encarregado de proteção de dados, previstas no artigo 37 do GDPR (lei europeia de proteção de dados pessoais), é interessante que haja a sua nomeação. As hipóteses são: 1) tratamento efetuado pelo poder público (há previsão expressa na LGPD); 2) controle regular e sistemático de dados pessoais em grande escala; e 3) tratamento em grande escala de dados sensíveis e dados relacionados com condenações penais e infrações [4].
A LGPD prevê no §2º do artigo 41 algumas atividades a serem desempenhadas pelo encarregado de proteção de dados e, além delas, também terá como atribuição, por exemplo, em validar o Relatório de Impacto à Proteção de Dados (RIPD) elaborado pelo agente de tratamento, entre outras [5]. Se porventura a organização estiver em desacordo com a opinião do encarregado, o WP29 recomenda, como boa prática, documentar os motivos pelos quais os seus conselhos não foram acatados internamente [6].
Com relação à nomeação do encarregado — se interno ou externo — vale dizer que poderá ser alguém do jurídico ou de TI ou, um terceirizado (pessoa jurídica — DPO as a service), o qual deverá atuar de forma independente, bem como irá se reportar diretamente aos membros da alta administração. Saliente-se que se a nomeação for de um colaborador interno, a atividade a ser desempenhada pode ser cumulada com a anterior, desde que não haja conflitos de interesse (artigo 38, 6, do GDPR). Também é fundamental que o encarregado tenha um bom suporte quanto aos recursos financeiros para o desempenho da sua função, pessoal qualificado para auxiliá-lo — a depender do tamanho da organização —, treinamento contínuo a fim de se manter atualizado para desenvolver o domínio em temas correlatos à proteção de dados etc [7].
Por fim, quanto à obrigatoriedade ou não da nomeação do encarregado, é interessante que haja a sua nomeação até que a ANPD regulamente sobre o tema, dispondo sobre as hipóteses de dispensa da nomeação [8]. O encarregado possui outras funções a serem desempenhadas, bem como a sua atuação cotidiana requer algumas habilidades [9], pois os desafios que surgem no dia a dia são diversos, muitos dos quais não possuem soluções previstas nos livros, motivo pelo qual o profissional deverá estar em contínua atualização sobre temas correlatos à proteção de dados pessoais.
- Fonte: LGPDBrasil.com.br
- Imagem: LGPDBrasil.com.br
- 20 de outubro de 2021