Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais – LGPD em agosto deste ano, as empresas estão começando a definir desde já quem será o seu Encarregado pelo Tratamento de Dados Pessoais.
Definido no artigo 5º da Lei Geral de Proteção de Dados Pessoais – LGPD, o encarregado pelo tratamento de dados pessoais – ou, simplesmente, o “Encarregado” – é a pessoa indicada por um agente de tratamento de dados pessoais, seja controlador ou operador (i.e. a empresa), para atuar como canal de comunicação entre a empresa, os titulares dos dados, a Autoridade Nacional de Proteção de Dados – ANPD e eventuais outros envolvidos na atividade de tratamento desses dados.
Trata-se do equivalente brasileiro do “DPO” (Data Protection Officer), oriundo da legislação de proteção de dados europeia, o General Data Protection Regulation – GDPR.[1] Contudo, essa equivalência não é perfeita devido às divergências entre as legislações.
Diferentemente da legislação europeia, a LGPD não estabeleceu critérios objetivos para obrigar à nomeação de um Encarregado, de modo que tais critérios ficarão a cargo da própria ANDP. Isso significa que, por enquanto, a nomeação é obrigatória para todos os controladores de dados pessoais[2] e não há requisitos mínimos legais para que alguém ocupe essa função, pelo menos até que a ANPD decida sobre o assunto e publique um regulamento. Depois da regulamentação, mesmo nas hipóteses em que não seja obrigatória, a nomeação voluntária será possível para os controladores e operadores de dados que não possuem esse dever, constituindo medidas de boas-práticas e redução de eventuais penalidades no âmbito de um programa de governança de dados da empresa.
As principais atribuições do Encarregado expressas na Lei[3] são as seguintes:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional (ANPD) e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- executar as demais atribuições determinadas pelo controlador ou operador dos dados, ou estabelecidas em normas complementares, como futuros regulamentos da ANPD.
A lista acima é exemplificativa e, por isso, existem outras atribuições adequadas à função do Encarregado, como por exemplo:
- cooperar com a ANPD e atuar como um facilitador em procedimentos administrativos iniciados pela ANPD[4];
- recomendar medidas para mitigar e prevenir riscos aos direitos dos titulares de dados pessoais tratados pela empresa;
- coordenar a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais, tanto quando requeridos pela ANPD como também voluntariamente, por decisão da empresa,
- recomendar a realização voluntária de tais relatórios nos casos em que considerar que há riscos relevantes às pessoas cujos dados são tratados pela empresa;
- promover revisão e atualização de políticas e processos da empresa; e
- promover treinamentos.
Não há regra expressa sobre a localização do Encarregado, mas é recomendável que esteja no Brasil ou que, pelo menos, tenha condições de se comunicar com a ANPD e com os titulares em português. Isso pode ser uma barreira para a nomeação de um encarregado único para todo um grupo econômico internacional, mas isso não é expressamente vedado. Em todo caso, deve-se levar em conta a questão da aplicação transnacional dessa Lei – mesmo uma empresa que não esteja estabelecida no território brasileiro pode estar sujeita à sua aplicação.[5]
Para a escolha do Encarregado, recomenda-se observar o seguinte:
- deve ter conhecimento da legislação de proteção de dados e da legislação setorial aplicável à empresa;
- pode ser um membro do quadro de colaboradores da empresa ou um terceiro contratado,[6] sendo que, se o Encarregado for alguém dos quadros da própria empresa, não é recomendável que seja um conselheiro, diretor estatutário ou outra pessoa que possa ter eventual conflito de interesses;[7]
- deve reportar diretamente para a Diretoria ou Presidência da empresa; e
- deve ter independência funcional – similar ao que ocorre com os cargos de compliance para outras finalidades.
A responsabilidade do Encarregado perante a empresa limita-se ao exercício adequado de suas funções e a responsabilidade civil e administrativa pela proteção de dados é, por regra, da empresa e não do Encarregado. Entretanto, o Encarregado pode ser levado a responder pessoalmente por ação ou omissão dolosa e, se tiver poder de decisão na empresa, também poderá ser responsabilizado pelas medidas que ele aprovar.
A equipe de privacidade e proteção de dados pessoais do escritório está à disposição para maiores esclarecimentos.
Lembramos que o escritório Barcellos Tucunduva Advogados oferece o serviço “DPO as a service” – ou seja, atua como encarregado de proteção de dados para seus clientes.
[1] Artigos 37 a 39 do GPDR.
[2] Artigo 41, caput, da LGPD.
[3] Artigo 41, §2º, combinado com artigo 5º, inciso, VIII da LGPD.
[4] Similar ao que o GDPR prevê para o DPO em seu artigo 39(1)(d). O DPO assume o papel de um facilitador em razão de centralizar o contato com a autoridade, sendo, portanto, a pessoa adequada para lhe franquear acesso aos documentos e informações da empresa, bem para auxiliar no exercício dos poderes de investigação, correção, entre outros.
[5] Artigo 3º da LGPD.
[6] O texto final da Lei não é claro quanto a possibilidade do Encarregado ser pessoa jurídica, mas, diante de sua redação ambígua, defendemos que é possível.
[7] Por exemplo, o conflito de interesses pode surgir no caso do encarregado ser alguém cuja remuneração esteja diretamente ligada ao lucro da empresa, de modo que seu interesse pessoal na lucratividade pode afetar o interesse inerente à função, de cuidar da proteção de dados pessoais nas atividades da empresa.