Muito se fala sobre a figura do Encarregado de Dados (ou Data Protection Officer), prevista na Lei Geral de Proteção de Dados (LGPD), mas os primeiros passos rumo às definições da atuação do Encarregado de Dados, adiante denominado apenas como Encarregado ou DPO, ainda estão sendo definidos.
Com isso, apresentamos neste artigo as primeiras lições aprendidas não só por meio da LGPD, mas também com a experiência de atuação junto a organizações que já nomearam seus Encarregados e vivem no contexto dos seus negócios as facilidades e dificuldades que essa função acarreta.
O ponto de partida é a própria Lei, que apresenta no artigo 41 as atividades básicas do cargo e a necessidade de que a identidade e o contato da pessoa física ou jurídica ocupante deste cargo sejam publicamente divulgados. Sim, existe a possibilidade de ser uma pessoa jurídica! Consiste no Encarregado como Serviço ou DPO as a Service. Fique atento aos futuros artigos, pois em breve trataremos especificamente dessa possibilidade.
De todo modo, o Encarregado será o responsável por atuar como elo de comunicação entre a organização controladora, os operadores, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados - ANPD. Ademais, deverá orientar os colaboradores e terceirizados naquilo que disser respeito à privacidade e proteção de dados.
Para o bom exercício dessas funções, questiona-se: quem pode e quem não pode ser o Encarregado?
Para responder essa pergunta, é importante apresentar o que o Regulamento Europeu (GDPR) pontua sobre o tema. Nesta legislação, o DPO deve ter ampla autonomia e independência em sua atuação, não podendo ser pessoa que acumula cargos ou funções que ensejem conflito de interesses.
Para exemplificar, existem empresas europeias que sofreram aplicação de multas por terem nomeado DPO que acumula a função de head de compliance, auditoria e riscos, por exemplo, uma vez que esse acúmulo poderia comprometer a independência necessária do DPO.
No Brasil, a LGPD não fez exigências explícitas quanto à qualificação ou características obrigatórias do Encarregado, nem mesmo especificou quem não poderia ser nomeado. Essa tarefa coube, então, aos normativos desdobrados da legislação, que já começaram a surgir.
Cita-se como exemplo a Instrução Normativa SGD/ME nº 117, de novembro de 2020, aplicável aos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional, que disciplina mais detalhadamente a função e veta que o escolhido para ser o Encarregado esteja lotado nas unidades de tecnologia da informação.
Com base nisso e justamente pela natureza das funções e diante da experiência do que está (ou não) funcionando no dia a dia das organizações, é possível afirmar que o Encarregado deve:
Conhecer bem a estrutura organizacional da instituição;
Ter amplo conhecimento da legislação de privacidade e proteção de dados, bem como das boas práticas de segurança da informação;
Ter fácil acesso à Alta Direção, já que privacidade deve ser assunto estratégico da organização e não ocupar cargos que prejudiquem a independência em sua atuação;
Preferencialmente, a depender do tamanho da empresa ou órgão, ter uma equipe de suporte com conhecimentos multidisciplinares para auxiliar na tomada de decisões.
Mesmo diante da clareza que já se tem sobre os pontos elencados acima, ainda há muito o que se discutir e entender. Isso fica evidente quando percebemos as diferentes orientações advindas dos entes governamentais em todo o território nacional.
Por exemplo, o Decreto 40.036, de 27 de abril de 2021, aplicável ao contexto da Administração Pública direta e indireta do Distrito Federal, estipula que haverá um Encarregado Governamental e Encarregados Setoriais, cada qual com atribuições e atuação em escopo distintos.
Nesse sentido, percebe-se que alguns órgãos têm se mobilizado e definido a estrutura na qual está inserido o Encarregado de maneiras absolutamente diferentes um do outro, o que gera muitas dúvidas e inseguranças quanto à forma de atuação.
Caberá uniformização das atribuições do Encarregado em todo o território nacional? Ou seguir as regras básicas é suficiente? É possível definir de forma autônoma o escopo e a atuação do Encarregado dentro de cada organização? São perguntas ainda sem resposta clara e objetiva. A ANPD certamente orientará melhor todas essas questões.
Enquanto a Autoridade não promove essas orientações, siga as definições da LGPD, em primeiro lugar, e depois observe a natureza jurídica da sua organização. Se for da Administração Pública, atente-se também para as regulamentações nacionais e estaduais que têm surgido em ritmo intenso e com muitas particularidades. Além de tudo isso, permaneça ligado nas orientações da ANPD sobre o tema porque muitas discussões e definições importantes estão por vir.
Camila Borges Pires
Analista Jurídica da Every
Comments