A Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/18, cuja entrada em vigor se dará em agosto de 2020, tem despertado amplos debates sobre as melhores práticas de implementação das profundas mudanças legais, procedimentais e culturais por ela propostas.

Dada a inexistência de uma lei tão abrangente na tutela dos dados pessoais no sistema jurídico brasileiro, diversas foram as mudanças paradigmáticas trazidas pela LGPD. Dentre elas se destaca a criação da figura do data protection officer, também conhecido como “DPO”, por aqui chamada de encarregado, em forma “importada” do Regulamento Europeu de Proteção de Dados (General Data Protection Regulation – GDPR).

O vocábulo encarregado aparece 7 vezes na LGPD, que traz ainda, em seu artigo 5º, inciso VIII, uma definição legal, que seria a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).”¹

• +JOTA: Assine o JOTA e não deixe de ler nenhum destaque!
  

A nomeação de um encarregado será obrigatória para as pessoas naturais, empresas (Art. 41) e pelo Poder Público (art. 23, III) que realizam tratamento² de dados pessoais, e representa uma função crucial na conformidade das práticas previstas na Lei Geral Proteção de Dados, já que as sanções podem alcançar, dentre diversas hipóteses, o valor de R$50.000.000,00 (cinquenta milhões de reais) por infração (art. 52). Caberá à ANPD dispôr sobre os casos de dispensa de indicação de encarregado, de acordo com o porte e atividades envolvidas (art. 41).

Na Europa, o Article 29 Working Party³ definiu a figura do encarregado como “pedra angular” para a conformidade das empresas com o regulamento de proteção de dados, sendo razoável que a mesma relevância do cargo seja observada no Brasil, sobretudo diante da ausência de cultura de proteção de dados na sociedade brasileira, ao contrário do que se observa na Europa, que já conta com regras sobre o tema desde 1995.

Inicialmente, o texto original da LGPD previa que o encarregado seria “pessoa natural”. No entanto, a palavra “natural” foi suprimida pela Medida Provisória nº 869 e depois pela Lei nº 13.853 de 2019, que alterou inúmeros pontos da LGPD. Com isso, passou a se admitir que empresas e pessoas físicas atuem como DPO, sem exclusão legal de uma ou outra possibilidade.

A mesma Lei nº 13.853 suprimiu ainda o § 4o e seus três incisos, previstos no artigo 41 da LGPD. O parágrafo excluído previa, dentre outros, que o encarregado deveria ser detentor de conhecimento jurídico-regulatório e ainda a garantia da autonomia técnica e profissional no exercício do cargo. O trecho alterado e vetado trazia previsão quase que idêntica ao disposto na GDPR, que será abordada mais a frente.

Em suma, a primeira conclusão que se pode extrair, no presente momento, é no sentido de que: 1) as recentes alterações na LGPD permitiram que empresas exerçam a função de DPO, 2) foi excluída a exigência de conhecimento jurídico e técnico pelo encarregado e 3) foi retirada a garantia de autonomia no desempenho das funções do DPO.

Apesar de trazer mais facilidades e talvez provocar uma redução de custos para os controladores que deverão nomear um encarregado, a Lei nº 13.853 enfraqueceu garantias importantíssimas para o exercício de suas atribuições, que estão expressamente previstas no Regulamento Europeu.

Tanto na Europa quanto no Brasil, cabe ao encarregado receber do controlador todas as informações que identifiquem eventual atividade de tratamento de dados, entender todo o ciclo de vida dos dados pessoais, instruindo-o para que as atividades de tratamento estejam em conformidade aos princípios, direitos e demais normas que constam da Lei Geral de Proteção de Dados.

Todas as conclusões e instruções do encarregado devem ser levadas ao conhecimento dos mais altos escalões hierárquicos do controlador, em razão do poder decisório daquele e dos riscos envolvidos em caso de inadequação à LGPD.

Cabe ainda ao encarregado a função de elo entre a organização, a ANPD e os titulares dos dados, atuando como canal de interlocução com estes entes, devendo o DPO zelar para que o acesso a ele seja facilitado, de forma gratuita, clara e pública nos meios de comunicação do controlador, conforme Art. 41 § 1º.

E não para por aí. O encarregado pode ainda coordenar a elaboração do relatório de impacto à proteção de dados pessoais (Art. 5, XVII), documento que poderá ser exigido pela ANPD nos casos que envolverem, por exemplo, tratamento de dados sensíveis (Art. 38), utilização de legítimo interesse como base legal (Art. 10, § 3º).

É importante salientar que o encarregado não pode ter nenhuma ingerência sobre as atividades do controlador, pois em razão de sua independência, o DPO deve apenas orientar, cabendo a gestão exclusivamente ao respectivo controlador.

Considerando-se o papel crucial exercido pelo DPO, o Regulamento Europeu de Proteção de Dados – GDPR, que serviu de inspiração para a LGPD, mostra-se bem mais compreensivo quando trata do encarregado, e não obrou em omissão legislativa na garantia de autonomia e na necessidade de conhecimento técnico, ao contrário da Lei Brasileira, após sua alteração.

Diante disso, a GDPR traz em seu artigo 37 a exigência de conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como afirma, no artigo 38, que ele não pode receber instruções para o exercício das suas funções, não pode ser destituído nem penalizado em razão do exercício de suas funções.

Em recente parecer proferido nos autos processo n.º 14/PP/2018-G⁴ do Conselho Geral da Ordem dos Advogados Portugueses, cujo voto condutor foi proferido pelo conselheiro Zacarias de Carvalho, se decidiu, por maioria, sobre a impossibilidade de advogados cumularem a defesa dos direitos de determinado controlador com a função de Encarregado da Proteção de Dados. Esta decisão vale de grande alerta para o sistema Brasileiro, pois pode implicar em eventual conflito de interesse e incompatibilidade também sob a ótica do ordenamento jurídico pátrio.

Diante de todo o exposto, analisando-se o Regulamento Europeu e a LGPD, é possível se extrair algumas conclusões preliminares acerca da atuação do encarregado, função que ganhará extrema relevância a contar de agosto de 2020:

1. Ao encarregado devem ser conferidas garantias efetivas de autonomia no desempenho de suas funções, não se admitindo que seja penalizado em razão do desempenho destas. Diante destas garantias, pode-se admitir inclusive que este seja parte integrante da organização ou ator externo, prestador de serviços.

2. A função de encarregado por ser exercida por pessoa natural ou jurídica, existindo possibilidade de criação de novos modelos de negócios empresariais com objeto social dedicado à função de DPO.

3. É altamente recomendável que o encarregado tenha comprovado conhecimento jurídico específico sobre proteção de dados, bem como noções sobre o funcionamento da tecnologia utilizada pelo controlador, exigência expressa na GDPR. Seria de suma importância que a ANPD regulamentasse requisitos mínimos o quanto antes, na forma do Artigo 41, § 3º da LGPD, visando evitar dúvidas e questionamentos neste sentido.

4. O encarregado, a priori, não poderá ser responsabilizado por eventual aplicação de sanção ou responsabilidades⁵ ao controlador advindas de violação à LGPD, uma vez que a sua função é meramente consultiva, não cabendo ao encarregado adotar nenhuma medida junto a qualquer operação de tratamento de dados. Cabe ao controlador adotar, ou não, as orientações do encarregado, ciente dos riscos.

5. Não se pode admitir a irresponsabilidade total do encarregado, devendo, no entanto, somente o responsabilizar em casos excepcionais, onde haja comprovadamente dolo no sentido de induzir o controlador a adotar atitude teratológica e manifestamente contrária aos mandamentos da LGPD.

Por fim, diante do cenário que se apresenta sobre o encarregado, figura de papel central na implementação e aplicação efetiva dos princípios e direitos previstos LGPD, parece cristalina a necessidade preeminente de nomeação do Conselho Diretor da Autoridade Nacional de Proteção de Dados, a quem caberá, dentre diversas competências, estabelecer normas complementares sobre a definição e as atribuições do encarregado (Artigo 41 § 3º). Somente através de uma atuação firme, responsável, independente e técnica da ANPD é que todas estas inquietudes serão sanadas.

—————————————

Rodrigo Dias de Pinho Gomes – Sócio da Sociedade de Advogados Pinho Gomes. Doutorando e Mestre em Direito Civil pela UERJ. Professor dos cursos de Pós-graduação da PUC-RIO, IBMEC Rio e Belo Horizonte. Professor e coordenador da área de Direito e Tecnologia da Escola Superior de Advocacia. Pesquisador visitante na European University Institute - San Domenico di Fiesole, Italia. . E-mail: rodrigo@pinhogomes.com.br