• MM Assessoria Jurídica

Afinal, quem (não) pode ser Encarregado pelo Tratamento de Dados Pessoais?


Dentre as muitas obrigações da Lei Geral de Proteção de Dados Pessoais (LGPD), está a nomeação de um Encarregado pelo Tratamento de Dados Pessoais.


Além de atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD), o Encarregado é a figura responsável por orientar os funcionários e os operadores sobre as boas práticas relativas à proteção de dados (artigos 5º, inciso VIII, e 42, §2º da LGPD).


A princípio, toda e qualquer organização, independentemente do seu tamanho, deve indicar um Encarregado. Isso porque, embora a LGPD preveja a possibilidade da dispensa, de acordo com a natureza e o porte ou o volume de operações de tratamento de dados, esta depende de regulamentação por parte da ANPD.


Aliás, já existe uma minuta da resolução que dispõe sobre a aplicação da LGPD para agentes de tratamento de pequeno porte, mas, antes de ser oficialmente publicada, ela ainda passará por algumas etapas do processo de regulamentação, como a consulta pública que segue com o prazo aberto.


Apesar disso, é possível adiantar que, segundo o documento, os agentes de tratamento considerados de pequeno porte não serão obrigados a indicar o Encarregado, desde que disponibilizem um canal de comunicação para o titular de dados.


Superado esse ponto, é provável que você esteja se perguntando, afinal, quem poderá ser nomeado como Encarregado?


Embora a LGPD não apresente detalhes sobre o tema, a Autoridade Nacional de Proteção de Dados trouxe contribuições importantes através de um Guia. Segundo a ANPD, o Encarregado pode ser tanto um funcionário da empresa quanto um terceiro, inclusive uma pessoa jurídica, o importante é que o indicado possua conhecimento mínimo sobre o tema, bem como liberdade para exercer as suas atribuições.


Na prática, considerando o custo de contratar uma pessoa para desempenhar exclusivamente o papel de Encarregado, o que tem sido visto é a indicação de um colaborador que passa, então, a acumular funções dentro da organização.


Ocorre que, apesar de ser algo comum no mundo real, esse acúmulo pode não ser recomendável e você sabe por quê?


O problema é que, com frequência, verifica-se a existência de um claro conflito de interesses entre as funções desempenhadas pelo colaborador que acumula a função do Encarregado. O tal do conflito, conforme Nairane Leitão, acontece quando a mesma pessoa que executa as atividades é responsável por fiscalizá-las, o que acaba por implicar em uma “auto avaliação”.


Aqui, vale um exemplo clássico para ilustrar: se o responsável pelo setor de TI possui a função de definir e implementar as soluções tecnológicas aplicáveis ao tratamento de dados pessoais, este não poderá ser nomeado como Encarregado, tendo em vista que, se assim fosse, ele estaria fiscalizando o seu próprio trabalho, o que, nem de longe, parece ser uma análise imparcial.


Inclusive, ainda no ano passado, a Autoridade de Proteção de Dados da Bélgica multou uma operadora de telefonia em 50 mil euros ao identificar que o responsável pela área de Compliance também exercia atividades de Data Protection Officer (DPO)¹, situação que, naquela oportunidade, caracterizava um conflito de interesses.


Isso porque, dentre as atribuições do Compliance Officer (CO), está a elaboração de políticas com vistas à análise dos parceiros comerciais por meio de Due Diligence e Background Check, cujo objetivo é minimizar exposição a riscos com contratações de terceiros que não estejam alinhados com os padrões éticos da empresa.


Por vezes, o uso dessas ferramentas pode acarretar numa coleta excessiva de dados, o que impacta diretamente na existência de conflito de interesses entre o DPO e o CO, já que compete ao DPO verificar se os dados pessoais estão sendo coletados em consonância com o princípio da necessidade (art. 6º, inciso III, da LGPD)².


Ao contrário da LGPD, o General Data Protection Regulation (GDPR), a “Lei de Proteção de Dados Pessoais” da União Europeia, aborda expressamente a questão do acúmulo de funções no seu artigo 38, afirmando que pode haver acumulação, desde que não resulte em conflito de interesses.


E mais, as “Diretrizes para DPO” esclarecem que o DPO não pode exercer “um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais”, sendo assim, via de regra, são incompatíveis, além do Diretor de TI, os cargos de Diretor Executivo, de Operações, Financeiro, Marketing e de Recursos Humanos.


Na prática, portanto, a designação do Encarregado vem se revelando uma verdadeira dificuldade para as instituições, sejam elas públicas ou privadas.


E, embora a LGPD não mencione expressamente a questão do conflito de interesses, é bem provável que a ANPD se ocupe com o tema e defina normas complementares sobre o Encarregado (artigo 42, § 3º), tendo em vista que, já no Guia de Agentes de Tratamento e Encarregado, a Autoridade se preocupou em citar a importância da sua independência.


Em síntese, mesmo que ainda não haja um posicionamento oficial da ANPD, desde já, é importante que os controladores tenham cautela ao indicar o seu Encarregado, ponderando não somente o custo, mas a real efetividade e imparcialidade daquele que for designado para a função, considerando a relevância de distinguir aquele que define aspectos do tratamento dos dados daquele que monitora a conformidade com as boas práticas que derivam das disposições da LGPD.


Por Eduarda da Rosa Machado, Marina Ferraz de Miranda e Tayná Tomaz de Souza.



Notas:

¹ Apesar de algumas distinções, o DPO seria o equivalente ao Encarregado no Brasil.

² “Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.


Referências:


ALBUQUERQUE, Izabel. É possível cumular as funções de Compliance Officer e de Data Protection Officer (DPO)? 2021. Disponível em: <https://www.nextlawacademy.com.br/blog/e-possivel-cumular-as-funcoes-de-compliance-officer-e-de-data-protection-officer-dpo>. Acesso em 30 de set. de 2021.


ANPD. ANPD prorroga prazo para recebimento de contribuições da consulta pública sobre a norma de aplicação da LGPD para microempresas e empresas de pequeno porte. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-prorroga-prazo-para-recebimento-de-contribuicoes-da-consulta-publica-sobre-a-norma-de-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte> Acesso em 30 de set. de 2021.


ANPD. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. 2021. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf>. Acesso em 30 de set. de 2021.


ANPD. Minuta de Resolução que dispõe sobre a fiscalização e aplicação de sanção pela Autoridade Nacional de Proteção de Dados. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/minuta_de_resolucao___aplicacao_da_lgpd_para_agentes_de_tratamento_de_pequeno_porte.pdf> Acesso em 30 de set. de 2021.


BRASIL. Lei n. 13.709/2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em 30 de set. de 2021.


EUROPEAN COMMISSION. Guidelines on Data Protection Officers. Disponível em: <https://ec.europa.eu/newsroom/article29/items/612048/en> Acesso em 30 de set. de 2021.


LEITÃO, Nairane Farias Rabelo. Decisão belga sobre proteção de dados pode ter reflexo no Brasil. Disponível em: <https://www.conjur.com.br/2020-jun-02/nairane-leitao-protecao-dados-belgica-brasil> Acesso em 30 de set. de 2021.



Fonte: Pexels

18 visualizações