VOLTAR
  • Poder
    • Executivo
    • Justiça
    • Legislativo
    • STF
  • Tributos
  • Saúde
  • Opinião & Análise
    • Análise
    • Colunas
    • Artigos
  • Coberturas Especiais
    • Aviação: Desafios da Retomada
    • Agro: Desafio das Rodovias
    • Brasil Empreendedor
    • Diversidade
    • Economia Bancária
    • Inovação e Pesquisa
    • Regulação e Inovação
    • Segurança Jurídica & Desenvolvimento
    • Sociedade Digital
    • Transporte Rodoviário de Passageiros
  • Newsletter
Conheça o Jota PRO para empresas Assine
JOTA
Login
  • Poder
    • Executivo
    • Justiça
    • Legislativo
    • STF
  • Tributos
  • Saúde
  • Opinião & Análise
    • Análise
    • Colunas
    • Artigos
  • Coberturas Especiais
    • Aviação: Desafios da Retomada
    • Agro: Desafio das Rodovias
    • Brasil Empreendedor
    • Diversidade
    • Economia Bancária
    • Inovação e Pesquisa
    • Regulação e Inovação
    • Segurança Jurídica & Desenvolvimento
    • Sociedade Digital
    • Transporte Rodoviário de Passageiros
  • Newsletter

Legal & Business

Atenção à figura do encarregado ajudará empresas no compliance com a LGPD

Requisitos legais para o exercício da função de Data Protection Officer exigem cuidados do departamento jurídico

  • Márcio Chaves
20/01/2022 05:10 Atualizado em 21/01/2022 às 18:33
Facebook Twitter Whatsapp Email
comentários
Encarregado/DPO e o comitê de privacidade
Crédito: Unsplash

Visto como a figura central na busca pela conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), o encarregado ou “data protection officer (DPO)” é frequentemente alvo de diversas dúvidas por parte das entidades públicas e privadas, não raro o considerando único responsável pelo tema em suas organizações.

Não é à toa: se analisarmos as definições da palavra utilizada na lei, o termo “encarregado” frequentemente denota algo em comum: a individualização, ou seja, a indicação de uma “pessoa que tem um encargo, incumbência”. No inglês, as definições da palavra “officer” também comumente têm a mesma conotação — a “person/one who holds a position/office”.

Nos dispositivos das regras legais sobre a proteção de dados pessoais, em especial no Regulamento Geral de Proteção de Dados (RGPD) — ou “General Data Protection Regulation (GDPR)” — e na nossa LGPD, apesar da existência de referências ao “encarregado” como um indivíduo[1], tem-se aceito o fato de que esta figura pode ser exercida não somente por uma pessoa natural/física, mas também por uma pessoa jurídica. Esta posição está, inclusive, expressamente contida no site da Comissão Europeia[2] e foi objeto da alteração do inciso VIII do artigo 5º da LGPD para excluir a palavra “natural” da definição de encarregado.

Uma das finalidades principais desta figura seria a de agir como um ponto de contato entre a entidade — pública ou privada —, o titular e a autoridade de proteção de dados. Esta atribuição, inclusive, encontra menções expressas nos referidos textos legislativos, materializada na obrigação de prestar informações de contato. O que os legisladores pretenderam aqui nos parece ser a garantia de que a posição não fosse perdida entre tantas outras existentes em uma organização, dificultando o acesso, tanto ao titular de dados pessoais, quanto à autoridade, àquele à frente do tema privacidade na entidade.

Neste mesmo sentido, no caso de uma organização de grande complexidade — como muitas multinacionais, por exemplo — atribuir a um único indivíduo todos os atendimentos de solicitações, comunicações, orientações entre outras atividades[3] previstas nas regras de proteção de dados não seria razoável, colocando em risco o atendimento a esta nobre intenção dos legisladores de facilitar o acesso.

A figura do encarregado/DPO até pode exercer sua função concomitantemente com outras dentro da mesma estrutura ou em mais de uma entidade, mas desde que as atividades da posição não imponham volume de trabalho que demande uma dedicação exclusiva. Porém, para exercer tais atribuições em um cenário de grande volume de demandas relacionadas à privacidade, é necessário desvincular a função do encarregado/DPO de uma única pessoa natural e lhe atribuir uma estrutura mais robusta, como departamentos ou escritórios de privacidade, por exemplo.

Importante destacar que, apesar de excluída a previsão de que o encarregado devesse ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados[4], a figura do encarregado/DPO envolve o domínio de temas de grande complexidade técnica e jurídica. E esta complexidade muitas vezes vai além do próprio segmento de atuação da entidade, uma vez que dentro de uma organização não raro existem atividades de tratamento envolvendo dados da saúde, financeiros, securitários, entre outros. Assim, ainda que estes não sejam o “core business” das entidades, uma visão expert no tema nos segmentos específicos, sem dúvida, auxiliam a entidade, inclusive, nas negociações com prestadores de serviços e fornecedores terceiros em geral.

Ainda, a ausência, em ambos os textos legais, de uma atribuição ao ocupante da posição de encarregado/DPO da responsabilidade pelo uso dos dados pessoais na entidade, também afasta a necessidade de que esta seja exercida por um indivíduo. Não pareceria minimamente razoável atribuir a uma única pessoa tamanha responsabilidade pela conformidade com as regras de proteção da privacidade, como se os mais diversos usos de dados pessoais dentro da estrutura da entidade dependessem de sua aprovação.

Mesmo sendo um colaborador passível de ser demandado pelo empregador pelos danos causados em virtude da prática de um ilícito[5], sua capacidade econômica pode ser ínfima diante dos prejuízos causados, por exemplo, com as multas milionárias que a LGPD pode sujeitar a empresa pelo seu descumprimento. Tal situação pode ser mais favorável na terceirização da função, principalmente para um prestador de serviços que tenha maior porte: aqui, abre-se espaço para incluir cláusulas contratuais de responsabilidade e amparados por apólices de seguros pelas falhas na execução dos serviços profissionais.

Por fim, temos as situações envolvendo conflito de interesse. Isto porque quando a figura do encarregado/DPO é exercida por colaborador da própria empresa ou instituição que ocupa outra função, grandes são as possibilidades de serem responsáveis por processos internos advindos desta função e que envolvam o tratamento de dados pessoais. Desta forma, se, por exemplo, o encarregado atender uma solicitação de titular, fizer uma análise de riscos, emitir de relatório específico ou der orientações para funcionários e contratados envolvendo um processo interno que ele seja o responsável, surge o conflito com suas atribuições como encarregado/DPO.

Diante de tantas dúvidas e dificuldades identificadas na condução do tema para a garantia da conformidade com as regras de proteção da privacidade, como as empresas e as demais instituições devem agir?

A Autoridade Nacional de Proteção de Dados (ANPD) ainda não exerceu seu papel regulatório para estabelecer normas complementares sobre a definição e as atribuições do encarregado, bem como hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. A autoridade prevê em sua Agenda Regulatória 2021-2022 como objeto de Resolução ainda no 1º semestre de 2021, todavia, até o momento, limitou-se a publicar um Guia Orientativo para as Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado.

No referido documento, a ANPD explica que “a LGPD não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo”.

Na condução das atividades de adequação e manutenção da conformidade das regras de privacidade, a criação de comitês de privacidade é vista erroneamente por muitas entidades como uma forma de reduzir custos na contratação do encarregado/DPO. Isto porque, embora seja recomendável a constituição de tal estrutura de composição multidisciplinar, permitindo o efetivo engajamento das diversas áreas com o tema privacidade e proteção de dados e resultando no melhor desenvolvimento da cultura na empresa, sua criação por si só não garante aos componentes as competências necessárias para o cumprimento das atividades do encarregado/DPO, ou seja, não dispensa a sua presença na condução do tema dentro da entidade.

O comitê de privacidade deve contar com a participação ativa dos principais departamentos da entidade e que fazem a maior parte dos tratamentos de dados pessoais, tais como: jurídico, compliance, tecnologia de informação, segurança da informação, recursos humanos, marketing e comercial. Deve, ainda, ser sempre conduzido e suportado por uma posição de especialista em privacidade e proteção de dados pessoais, que pode ser tanto um colaborador da empresa ou um departamento de privacidade, um prestador de serviços terceirizado — seja como indivíduo ou como um escritório de privacidade —, conforme a complexidade e o volume das demandas envolvendo a privacidade nas operações da entidade.

Merece destaque a importância do departamento jurídico no comitê, uma vez que frequentemente recebem o papel de primeiro suporte nas demandas de privacidade envolvendo os contratos corporativos, além de ter o dever de contribuir nas atualizações dos aspectos de privacidade presentes nas regras corporativas, como políticas de privacidade, planos de resposta a incidentes e ser o defensor de uma cultura de conscientização sobre a utilização dos dados pessoais na empresa.

Já os demais integrantes do comitê teriam funções de apoio, contribuindo com suas perspectivas operacionais da entidade para, em conjunto com a visão técnica especializada do encarregado/DPO, auxiliar na condução do tema dentro da estrutura. Apesar de não mencionar explicitamente a figura dos comitês de privacidade, a própria ANPD reforçou a importância do apoio fornecido pela equipe de proteção de dados em seu guia orientativo, indicando como relevante recurso para que o encarregado/DPO possa executar suas atribuições.

A falta de conhecimento suficiente sobre o tema privacidade para garantir o cumprimento das referidas regras ainda impera na maioria das entidades públicas e privadas. A simples indicação de um colaborador para exercer as atribuições do encarregado/DPO ou a mera criação de um comitê de privacidade sem a existência de um integrante que detenha as competências necessárias para o exercício das atribuições legais trazem grandes riscos de descumprimento das referidas regras.

Diante dos inegáveis reflexos dos requisitos legais da função e os diversos pontos de atenção, o envolvimento do departamento jurídico assumindo a liderança do tema será de grande valia para a empresa. A aplicação da LGPD é um tema muito novo para a maioria das empresas e é natural que os riscos apareçam tanto nas atividades de adequação à lei, quanto da identificação da ocorrência de um incidente de privacidade.

Para que não resulte em problemas ainda maiores advindos de novos descumprimentos legais, incluindo a incapacidade de cumprir os curtos tempos de resposta, a criação do comitê de privacidade, aliada à definição dos processos, procedimentos, os papéis e responsabilidades de seus participantes, com atenção especial para a figura do Encarregado/DPO, pode colocar a empresa em um cenário muito mais confortável na corrida para o compliance com a lei.


[1] Artigo 41 § 1º da LGPD. Considerando 97 do RGPD.”

[2] https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-company-organisation-need-have-data-protection-officer-dpo_en

[3] Artigo 41 § 2º da LGPD.

[4] Razões do veto do artigo 41, § 4º da LGPD.

[5] Código Civil artigos 927 e 934 e CLT artigo 462.

Márcio Chaves – Sócio head da área de Direito Digital do Almeida Advogados, com 20 anos de experiência jurídica, acadêmica e profissional em São Paulo, Rio de Janeiro, Belo Horizonte, Turim e Genebra, onde fez mestrado em Propriedade Intelectual na Universitá Degli Studi di Torino e na World Intellectual Property Organization WIPO Academy. Graduado em Direito com foco em Direito Empresarial pela Faculdade de Direito Milton Campos. Coordenador e professor do MBA em Privacidade e Proteção de Dados do CEDIN. Accredited Trainer em Privacy and Data Protection pelo EXIN.

Compartilhe Facebook Twitter Whatsapp

Próxima
lei do impeachment
contraterrorismo
PL Contraterrorista coloca chefe de Estado acima da lei

Tags ANPD DPO JOTA PRO PODER Legal & Business LGPD

Recomendadas

direito de greve
Prédio da Suprema Corte dos EUA. Crédito: Unsplash

O mundo fora dos autos

Suprema Corte dos EUA pode restringir direito de greve

Juízes debaterão se empregadores podem processar sindicatos por perdas econômicas decorrentes de paralisação

Cássio Casagrande | O mundo fora dos autos

Copel
Crédito: Divulgação

Entenda

Itaú e governo do Paraná discutem conciliação no STF envolvendo Copel

Processo sobre ações da Companhia Paranaense de Energia, dadas como garantia em empréstimo, podem impactar em privatização

Flávia Maia | Do Supremo

Helvécio Magalhães
Helvécio Magalhães / Crédito: Governo de Minas Gerais/Divulgação

Entrevista

‘Mutirão deve vir acompanhado de ações estruturantes’, diz Helvécio Magalhães

Hoje sistema funciona ‘às cegas’, sem controle sobre quantas pessoas estão na fila, diz secretário de Atenção Especializada à Saúde

Lígia Formenti | Saúde

crescimento conformidade
Crédito: Marcelo Casal Jr./Agência Brasil

Alíquotas

AGU pede ao STF que reconheça constitucionalidade de decreto sobre PIS/Pasep e Cofins

Segundo a PGFN, em apenas 10 dias, mais de 50 ações sobre as alíquotas foram ajuizadas

Flávia Maia | Tributário

cartão aproximação pagamentos marco entidades registradadoras
Crédito: Unsplash

Fraudes financeiras

Bancos devem ressarcir compras indevidas com cartão por aproximação?

Consumidores vítimas de furto e golpes têm buscado a Justiça para reaver valores cobrados indevidamente sem a senha

Letícia Paiva | Justiça

Waldemar Gonçalves ANPD
Diretor-Presidente da ANPD, Waldemar Gonçalves Ortunho Júnior / Crédito: Edilson Rodrigues / Agência Senado

Proteção de dados

ANPD mira em punições para garantir cumprimento da lei de dados

Em entrevista ao JOTA, diretor-presidente diz que já há oito casos prontos para aplicação de penalidades

Nivaldo Souza | Proteção de Dados

  • Editorias
    • Poder
    • Tributário
    • Saúde
    • Opinião e Análise
    • Coberturas Especiais
  • Temas
    • Ebooks
    • Congresso
    • LGPD
    • Anvisa
    • Eleições
    • Carf
    • Liberdade de Expressão
    • TCU
    • Covid-19
    • PIS/Cofins
  • Sobre
    • Quem Somos
    • About Us
    • Blog
    • Ética JOTA
    • Política de diversidade
    • Termos de uso
    • Seus dados
    • FAQ
    • Newsletters
  • Atendimento
    • Contato
    • Trabalhe Conosco
    • Política de privacidade

Siga o JOTA

Assine Cadastre-se