Lei Geral de Proteção de Dados: o papel do Data Protection Officer

Inspirada na General Data Protection Regulation(GDPR) europeia, a Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), que entrará integralmente em vigor a partir de agosto de 2020, dispôs especificamente o tratamento de dados pessoais.

Deste modo, toda e qualquer pessoa (natural ou jurídica) que trate dados de consumidores, colaboradores, funcionários e/ou parceiros em seus negócios deverá adotar procedimentos e políticas internas que visem a garantir que a nova lei seja cumprida, sob pena de multas e sanções.

A LGPD, em seu Art. 5o, define tratamento de dados como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Assim, resta claro que, após o período de vacânciada lei, as normas se aplicarão a uma enorme parcela das sociedades empresárias brasileiras, não se limitando apenas ao setor de tecnologia.

O mesmo dispositivo legal traz, dentre outras, as definições de quatro figuras centrais na relação de tratamento de dados:

  • Titular: pessoa natural cujos dados estão recebendo tratamento;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e
  • Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Portanto, uma sociedade empresária que solicite informações pessoais de seus clientes será a controladora dos dados coletados dos titulares; os funcionários que atuem no setor de Tecnologia da Informação da sociedade ou a pessoa jurídica contratada, os operadores; e o encarregado será a pessoa responsável por supervisionar o tratamento e estabelecer as relações entre a sociedade, os titulares e ANPD.

Com efeito, o encarregadoexercerá função similar a dos diretores responsáveis pelo compliance de sociedades que atuam em mercados regulados. Conforme determinado pelo artigo 41 da LGPD, as atividades do encarregado consistem em:

(i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

(ii) receber comunicações da autoridade nacional e adotar providências;

(iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

(iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Em que pese não haver determinação legal expressa de que o encarregado deve ser administrador da sociedade, a função muito se assemelha a do Data Protection Officer– DPO (ou Diretor Responsável pela Proteção de Dados), constante da GDPR.

A regulação adotada pela União Europeia determina em seu Art. 37 que o controlador deverá designar para o cargo de DPO pessoa com expertise técnica tanto jurídica quanto em relação à proteção de dados.

O Art. 39 da GDPR, por sua vez, elenca como funções atinentes ao cargo as de (a) alertar e informar aos agentes de tratamento (controlador e operadores) as suas obrigações em relação às normas de proteção de dados; (b) monitorar o cumprimento das leis, regulações e políticas internas referentes à proteção de dados, bem como promover treinamentos da equipe com o objetivo de conscientizar os colaboradores; (c)realizar análises de riscos e impactos envolvendo o uso de novas tecnologias; (d) colaborar com as autoridades responsáveis; e (e) desempenhar o papel de interlocutor entre a instituição e as autoridades responsáveis.

Ressalta-se a redação dada pela LGPD às definições acima mencionadas. Enquanto há determinação expressa em relação às pessoas que podem ser consideradas titulares, controladores e operadores – se naturais, jurídicas ou ambas –, em relação ao encarregado a grafia atual do texto legal traz apenas a expressão “pessoa”. Importante notar que esta não é a redação original do legislador, que havia definido o encarregado como “pessoa natural”. A bem da verdade, ela é oriunda da Medida Provisória nº 869/2018, adotada pelo ex-Presidente Michel Temer em dezembro do ano passado.

A MP 869, além de alterar a definição de encarregado, deixando em aberto se a função será exclusiva de pessoas naturais (e, provavelmente, seguindo a linha europeia de designação de diretor responsável específico) ou se poderá ser exercida por pessoas jurídicas especializadas, também criou a ANPD, vinculada à Presidência da República.

Se convertida em Lei a MP, caberá ao regulador determinar quem poderá atuar como encarregado. Inclusive, o parágrafo terceiro do mesmo Art. 41 da LGPD acima mencionado confere à ANPD a faculdade de estabelecer normas complementares sobre a definição de encarregado, podendo criar hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e porte da entidade ou o volume de operações de tratamento de dados. Neste caso, o regulador poderia, ainda, determinar a necessidade de indicação de DPO (pessoa natural) para determinados segmentos, portes ou volume de dados tratados e conferir aos demais controladores a prerrogativa de contratar pessoa jurídica autorizada para a função.

Independente dos entendimentos que o legislador e o regulador vierem a adotar, certo é que a função de encarregado ocasionará a necessidade de reestruturação interna, elaboração de políticas específicas e contratação de especialistas por parte das instituições que realizam tratamento de dados de seus clientes.

 

Thomaz Murta e Penna