Inspirada na General Data Protection Regulation(GDPR) europeia, a Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), que entrará integralmente em vigor a partir de agosto de 2020, dispôs especificamente o tratamento de dados pessoais.
Deste modo, toda e qualquer pessoa (natural ou jurídica) que trate dados de consumidores, colaboradores, funcionários e/ou parceiros em seus negócios deverá adotar procedimentos e políticas internas que visem a garantir que a nova lei seja cumprida, sob pena de multas e sanções.
A LGPD, em seu Art. 5o, define tratamento de dados como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Assim, resta claro que, após o período de vacânciada lei, as normas se aplicarão a uma enorme parcela das sociedades empresárias brasileiras, não se limitando apenas ao setor de tecnologia.
O mesmo dispositivo legal traz, dentre outras, as definições de quatro figuras centrais na relação de tratamento de dados:
- Titular: pessoa natural cujos dados estão recebendo tratamento;
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e
- Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Portanto, uma sociedade empresária que solicite informações pessoais de seus clientes será a controladora dos dados coletados dos titulares; os funcionários que atuem no setor de Tecnologia da Informação da sociedade ou a pessoa jurídica contratada, os operadores; e o encarregado será a pessoa responsável por supervisionar o tratamento e estabelecer as relações entre a sociedade, os titulares e ANPD.
Com efeito, o encarregadoexercerá função similar a dos diretores responsáveis pelo compliance de sociedades que atuam em mercados regulados. Conforme determinado pelo artigo 41 da LGPD, as atividades do encarregado consistem em:
(i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
(ii) receber comunicações da autoridade nacional e adotar providências;
(iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
(iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Em que pese não haver determinação legal expressa de que o encarregado deve ser administrador da sociedade, a função muito se assemelha a do Data Protection Officer– DPO (ou Diretor Responsável pela Proteção de Dados), constante da GDPR.
A regulação adotada pela União Europeia determina em seu Art. 37 que o controlador deverá designar para o cargo de DPO pessoa com expertise técnica tanto jurídica quanto em relação à proteção de dados.
O Art. 39 da GDPR, por sua vez, elenca como funções atinentes ao cargo as de (a) alertar e informar aos agentes de tratamento (controlador e operadores) as suas obrigações em relação às normas de proteção de dados; (b) monitorar o cumprimento das leis, regulações e políticas internas referentes à proteção de dados, bem como promover treinamentos da equipe com o objetivo de conscientizar os colaboradores; (c)realizar análises de riscos e impactos envolvendo o uso de novas tecnologias; (d) colaborar com as autoridades responsáveis; e (e) desempenhar o papel de interlocutor entre a instituição e as autoridades responsáveis.
Ressalta-se a redação dada pela LGPD às definições acima mencionadas. Enquanto há determinação expressa em relação às pessoas que podem ser consideradas titulares, controladores e operadores – se naturais, jurídicas ou ambas –, em relação ao encarregado a grafia atual do texto legal traz apenas a expressão “pessoa”. Importante notar que esta não é a redação original do legislador, que havia definido o encarregado como “pessoa natural”. A bem da verdade, ela é oriunda da Medida Provisória nº 869/2018, adotada pelo ex-Presidente Michel Temer em dezembro do ano passado.
A MP 869, além de alterar a definição de encarregado, deixando em aberto se a função será exclusiva de pessoas naturais (e, provavelmente, seguindo a linha europeia de designação de diretor responsável específico) ou se poderá ser exercida por pessoas jurídicas especializadas, também criou a ANPD, vinculada à Presidência da República.
Se convertida em Lei a MP, caberá ao regulador determinar quem poderá atuar como encarregado. Inclusive, o parágrafo terceiro do mesmo Art. 41 da LGPD acima mencionado confere à ANPD a faculdade de estabelecer normas complementares sobre a definição de encarregado, podendo criar hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e porte da entidade ou o volume de operações de tratamento de dados. Neste caso, o regulador poderia, ainda, determinar a necessidade de indicação de DPO (pessoa natural) para determinados segmentos, portes ou volume de dados tratados e conferir aos demais controladores a prerrogativa de contratar pessoa jurídica autorizada para a função.
Independente dos entendimentos que o legislador e o regulador vierem a adotar, certo é que a função de encarregado ocasionará a necessidade de reestruturação interna, elaboração de políticas específicas e contratação de especialistas por parte das instituições que realizam tratamento de dados de seus clientes.
Thomaz Murta e Penna