Visto como a figura central na busca pela conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), o encarregado ou “data protection officer (DPO)” é frequentemente alvo de diversas dúvidas por parte das entidades públicas e privadas, não raro o considerando único responsável pelo tema em suas organizações.
Não é à toa: se analisarmos as definições da palavra utilizada na lei, o termo “encarregado” frequentemente denota algo em comum: a individualização, ou seja, a indicação de uma “pessoa que tem um encargo, incumbência”. No inglês, as definições da palavra “officer” também comumente têm a mesma conotação — a “person/one who holds a position/office”.
Nos dispositivos das regras legais sobre a proteção de dados pessoais, em especial no Regulamento Geral de Proteção de Dados (RGPD) — ou “General Data Protection Regulation (GDPR)” — e na nossa LGPD, apesar da existência de referências ao “encarregado” como um indivíduo[1], tem-se aceito o fato de que esta figura pode ser exercida não somente por uma pessoa natural/física, mas também por uma pessoa jurídica. Esta posição está, inclusive, expressamente contida no site da Comissão Europeia[2] e foi objeto da alteração do inciso VIII do artigo 5º da LGPD para excluir a palavra “natural” da definição de encarregado.
Uma das finalidades principais desta figura seria a de agir como um ponto de contato entre a entidade — pública ou privada —, o titular e a autoridade de proteção de dados. Esta atribuição, inclusive, encontra menções expressas nos referidos textos legislativos, materializada na obrigação de prestar informações de contato. O que os legisladores pretenderam aqui nos parece ser a garantia de que a posição não fosse perdida entre tantas outras existentes em uma organização, dificultando o acesso, tanto ao titular de dados pessoais, quanto à autoridade, àquele à frente do tema privacidade na entidade.
Neste mesmo sentido, no caso de uma organização de grande complexidade — como muitas multinacionais, por exemplo — atribuir a um único indivíduo todos os atendimentos de solicitações, comunicações, orientações entre outras atividades[3] previstas nas regras de proteção de dados não seria razoável, colocando em risco o atendimento a esta nobre intenção dos legisladores de facilitar o acesso.
A figura do encarregado/DPO até pode exercer sua função concomitantemente com outras dentro da mesma estrutura ou em mais de uma entidade, mas desde que as atividades da posição não imponham volume de trabalho que demande uma dedicação exclusiva. Porém, para exercer tais atribuições em um cenário de grande volume de demandas relacionadas à privacidade, é necessário desvincular a função do encarregado/DPO de uma única pessoa natural e lhe atribuir uma estrutura mais robusta, como departamentos ou escritórios de privacidade, por exemplo.
Importante destacar que, apesar de excluída a previsão de que o encarregado devesse ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados[4], a figura do encarregado/DPO envolve o domínio de temas de grande complexidade técnica e jurídica. E esta complexidade muitas vezes vai além do próprio segmento de atuação da entidade, uma vez que dentro de uma organização não raro existem atividades de tratamento envolvendo dados da saúde, financeiros, securitários, entre outros. Assim, ainda que estes não sejam o “core business” das entidades, uma visão expert no tema nos segmentos específicos, sem dúvida, auxiliam a entidade, inclusive, nas negociações com prestadores de serviços e fornecedores terceiros em geral.
Ainda, a ausência, em ambos os textos legais, de uma atribuição ao ocupante da posição de encarregado/DPO da responsabilidade pelo uso dos dados pessoais na entidade, também afasta a necessidade de que esta seja exercida por um indivíduo. Não pareceria minimamente razoável atribuir a uma única pessoa tamanha responsabilidade pela conformidade com as regras de proteção da privacidade, como se os mais diversos usos de dados pessoais dentro da estrutura da entidade dependessem de sua aprovação.
Mesmo sendo um colaborador passível de ser demandado pelo empregador pelos danos causados em virtude da prática de um ilícito[5], sua capacidade econômica pode ser ínfima diante dos prejuízos causados, por exemplo, com as multas milionárias que a LGPD pode sujeitar a empresa pelo seu descumprimento. Tal situação pode ser mais favorável na terceirização da função, principalmente para um prestador de serviços que tenha maior porte: aqui, abre-se espaço para incluir cláusulas contratuais de responsabilidade e amparados por apólices de seguros pelas falhas na execução dos serviços profissionais.
Por fim, temos as situações envolvendo conflito de interesse. Isto porque quando a figura do encarregado/DPO é exercida por colaborador da própria empresa ou instituição que ocupa outra função, grandes são as possibilidades de serem responsáveis por processos internos advindos desta função e que envolvam o tratamento de dados pessoais. Desta forma, se, por exemplo, o encarregado atender uma solicitação de titular, fizer uma análise de riscos, emitir de relatório específico ou der orientações para funcionários e contratados envolvendo um processo interno que ele seja o responsável, surge o conflito com suas atribuições como encarregado/DPO.
Diante de tantas dúvidas e dificuldades identificadas na condução do tema para a garantia da conformidade com as regras de proteção da privacidade, como as empresas e as demais instituições devem agir?
A Autoridade Nacional de Proteção de Dados (ANPD) ainda não exerceu seu papel regulatório para estabelecer normas complementares sobre a definição e as atribuições do encarregado, bem como hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. A autoridade prevê em sua Agenda Regulatória 2021-2022 como objeto de Resolução ainda no 1º semestre de 2021, todavia, até o momento, limitou-se a publicar um Guia Orientativo para as Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.
No referido documento, a ANPD explica que “a LGPD não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo”.
Na condução das atividades de adequação e manutenção da conformidade das regras de privacidade, a criação de comitês de privacidade é vista erroneamente por muitas entidades como uma forma de reduzir custos na contratação do encarregado/DPO. Isto porque, embora seja recomendável a constituição de tal estrutura de composição multidisciplinar, permitindo o efetivo engajamento das diversas áreas com o tema privacidade e proteção de dados e resultando no melhor desenvolvimento da cultura na empresa, sua criação por si só não garante aos componentes as competências necessárias para o cumprimento das atividades do encarregado/DPO, ou seja, não dispensa a sua presença na condução do tema dentro da entidade.
O comitê de privacidade deve contar com a participação ativa dos principais departamentos da entidade e que fazem a maior parte dos tratamentos de dados pessoais, tais como: jurídico, compliance, tecnologia de informação, segurança da informação, recursos humanos, marketing e comercial. Deve, ainda, ser sempre conduzido e suportado por uma posição de especialista em privacidade e proteção de dados pessoais, que pode ser tanto um colaborador da empresa ou um departamento de privacidade, um prestador de serviços terceirizado — seja como indivíduo ou como um escritório de privacidade —, conforme a complexidade e o volume das demandas envolvendo a privacidade nas operações da entidade.
Merece destaque a importância do departamento jurídico no comitê, uma vez que frequentemente recebem o papel de primeiro suporte nas demandas de privacidade envolvendo os contratos corporativos, além de ter o dever de contribuir nas atualizações dos aspectos de privacidade presentes nas regras corporativas, como políticas de privacidade, planos de resposta a incidentes e ser o defensor de uma cultura de conscientização sobre a utilização dos dados pessoais na empresa.
Já os demais integrantes do comitê teriam funções de apoio, contribuindo com suas perspectivas operacionais da entidade para, em conjunto com a visão técnica especializada do encarregado/DPO, auxiliar na condução do tema dentro da estrutura. Apesar de não mencionar explicitamente a figura dos comitês de privacidade, a própria ANPD reforçou a importância do apoio fornecido pela equipe de proteção de dados em seu guia orientativo, indicando como relevante recurso para que o encarregado/DPO possa executar suas atribuições.
A falta de conhecimento suficiente sobre o tema privacidade para garantir o cumprimento das referidas regras ainda impera na maioria das entidades públicas e privadas. A simples indicação de um colaborador para exercer as atribuições do encarregado/DPO ou a mera criação de um comitê de privacidade sem a existência de um integrante que detenha as competências necessárias para o exercício das atribuições legais trazem grandes riscos de descumprimento das referidas regras.
Diante dos inegáveis reflexos dos requisitos legais da função e os diversos pontos de atenção, o envolvimento do departamento jurídico assumindo a liderança do tema será de grande valia para a empresa. A aplicação da LGPD é um tema muito novo para a maioria das empresas e é natural que os riscos apareçam tanto nas atividades de adequação à lei, quanto da identificação da ocorrência de um incidente de privacidade.
Para que não resulte em problemas ainda maiores advindos de novos descumprimentos legais, incluindo a incapacidade de cumprir os curtos tempos de resposta, a criação do comitê de privacidade, aliada à definição dos processos, procedimentos, os papéis e responsabilidades de seus participantes, com atenção especial para a figura do Encarregado/DPO, pode colocar a empresa em um cenário muito mais confortável na corrida para o compliance com a lei.
[1] Artigo 41 § 1º da LGPD. Considerando 97 do RGPD.”
[2] https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-organisation-need-have-data-protection-officer-dpo_en
[3] Artigo 41 § 2º da LGPD.
[4] Razões do veto do artigo 41, § 4º da LGPD.
[5] Código Civil artigos 927 e 934 e CLT artigo 462.