A Lei Geral de Proteção de Dados Pessoais é, apropriadamente, tema constante e frequente dos eventos que abordam a segurança em todos os seus vieses, mercê de sua extrema relevância para a sociedade brasileira e da forte mudança de paradigmas que representa no tocante ao tratamento correto e responsável a ser dispensado aos dados pessoais.
No último evento ao qual compareci, diversos órgãos, públicos e privados, levantaram preocupações, todas pertinentes, sobre diferentes aspectos da nossa LGPD. Interessante notar que dentre os variados questionamentos sobre a Lei, todos possuíam algo em comum: a figura do DPO, ou Data Protection Officer, o que na LGPD conhecemos como “Encarregado”.
Talvez, devido ao fato da LGPD, apesar de dedicar ao Encarregado um conceito claro e uma Seção completa, mencioná-lo ao todo, somente, sete vezes, poderia parecer que esse papel não merecesse o foco significativo que na verdade possui. Por essa razão, resolvi dedicar algumas palavras somente a esse personagem.
Nesse sentido, vamos explorar a abordagem da LGPD sobre o Encarregado, quem é o DPO, suas características, suas expertises desejadas, suas atribuições, situações em que deverá ser designado, como a organização deve lidar com ele, e concluímos sobre aspectos específicos do DPO e das organizações, em preparação para atuar com ele.
Vamos ao que a LGPD[1] diz sobre o Encarregado.
Em seu Art. 5º, inciso VIII, a Lei o conceitua como “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Do texto podemos extrair algumas ideias.
A primeira é que se refere ao encarregado como uma “pessoa”, não especificando se é natural ou jurídica, de direito público ou privado, o que dá liberdade de escolha aos controladores; em segundo, vê-se a responsabilidade do controlador e do operador quanto à indicação do encarregado, com maior peso sobre o controlador, pela análise da Lei; em terceiro, destaca-se sua função primordial: ser o canal de comunicação entre o controlador, a quem cabe a decisão do tratamento dos dados pessoais, os titulares desses dados e a ANPD, órgãos normatizador, orientador e fiscalizador das ações de tratamento.
Portanto, o encarregado não é referido como um dos agentes de tratamento, mas deve atuar em conjunto com eles, exercendo um papel de intermediário.
No Art. 23, inciso III, a Lei diz que “o tratamento de dados pessoais pelas pessoas jurídicas de direito público… deverá ser realizado para o atendimento de sua finalidade pública, … com o objetivo de executar as competências legais ou cumprir as atribuições legais… desde que … seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei.
Ou seja, para tratar dados pessoais, aquelas pessoas jurídicas de direito público, descritas no art. 1º da Lei nº 12.527, que para tanto exercerão o papel de controladores, terão de instituir um encarregado, o que é claramente mencionado no Art. 41. Entretanto, pode haver exceções, que abordaremos mais adiante.
Diz, ainda, o § 1º do Art. 41, que o controlador deverá tornar públicas a identidade e as informações de contato do encarregado, ou seja, torná-lo conhecido, tanto da organização como da sociedade em geral.
Os incisos I a IV do § 2º do mesmo artigo, citam as atividades do encarregado, que consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
Para “aceitar reclamações e comunicações dos titulares”, deverá possuir um perfil adequado ao estabelecimento e à manutenção de contatos, porque, além de suas atribuições, suas próprias ações estarão diretamente relacionadas à imagem da organização. Somente poderá “prestar esclarecimentos” se tiver profundo conhecimento da Lei e “adotar providências” se conhecer muito bem toda a sua organização e ter acesso à alta administração, além de inteira ciência de seu próprio papel.
II – receber comunicações da autoridade nacional e adotar providências;
Para tanto, deverá saber interpretar corretamente as diretrizes da autoridade nacional e ter condições de, em razão delas e com oportunidade, adotar as providências cabíveis.
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
Para orientar os funcionários e os contratados de uma organização, o encarregado deverá receber autoridade da cúpula da organização e ser reconhecido como detentor dessa função pelos demais integrantes a serem orientados. Aliás, deverá ter liberdade suficiente para assessorar e alertar inclusive a alta administração de sua organização sobre aspectos da proteção de dados pessoais. Nesse caso, a liderança da entidade deve demonstrar maturidade suficiente para apoiar o encarregado, sem que haja qualquer retaliação sobre ele. Afinal, o papel de DPO aparenta ser simples, mas não é.
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Aqui começam a surgir aspectos interessantes do papel do encarregado. Pela primeira vez na LGPD, o texto abre o rol de atribuições do encarregado para possíveis e posteriores acréscimos de funções. Note que o inciso se refere a duas vertentes atributivas. A primeira fala de “demais atribuições determinadas pelo controlador”, enquanto a segunda fala de “estabelecidas em normas complementares”.
Com relação à primeira, resta claro que o controlador poderá atribuir ao encarregado funções mais amplas ou mais detalhadas, desde que não contrariem o contido no Art. 5º e no Art. 41. Vamos falar ´mais adiante de algumas das prováveis atribuições, com auxílio da General Data Protection Regulation (GDPR)[2].
Quanto à segunda, ora, não estão, ainda, escritas normas complementares a respeito das funções do encarregado, lacuna que o § 3º, logo em seguida, tratou de preencher, atribuindo à autoridade nacional a faculdade de “estabelecer normas complementares sobre a definição e as atribuições do encarregado”, mencionando inclusive que tais normas poderão conter “hipóteses de dispensa da necessidade de sua indicação”, condicionando-a à “natureza e o porte da entidade ou o volume de operações de tratamento de dados”. Abordaremos essa consideração mais tarde.
É interessante notar que, à primeira vista, parece que a LGPD, em relação à GDPR, descreve as funções do encarregado de forma superficial, considerando que o termo “encarregado” é mencionado 7 vezes na LGPD, contra 39 na Lei europeia, fora as menções nos “recitals[3]”. Entretanto, o fez de modo proposital, uma vez que, como ainda há muito a se dizer sobre o DPO, deixou a regulamentação e o aprofundamento de suas atribuições para as normas complementares, que a meu ver terão de ser, com certeza, elaboradas, deixando a cargo da autoridade nacional concebê-las.
Bem, como por aqui se encerram as abordagens, na LGPD, da figura do encarregado, e na real e quase certa possibilidade da elaboração de normas complementares a respeito dele, eu gostaria de aprofundar alguns aspectos sobre o DPO, valendo-me, também, da GDPR.
Quem é o “Data Protection Officer”, ou o nosso “Encarregado”?
Vimos na LGPD, Art. 5º, que é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).”
A GDPR, por sua vez, não traz a esse personagem um conceito destacado como faz a lei brasileira, mas o define por suas características. Diz que “o encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39”. Art. 37, 5.
Aqui cabe um esclarecimento. No caso da LGPD, o § 4º do Art. 41, que mencionava a obrigatoriedade similar à da GDPR, do encarregado ser “detentor de conhecimento jurídico-regulatório”, foi vetado pela Lei 13.853, de 8 de julho de 2019[4].
A razão do veto, constante da Mensagem nº 288, de 8 de julho de 2019[5], que julguei melhor transcrever na integra, diz o seguinte:
“A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.”
A GDPR prossegue, dizendo que o “encarregado… pode ser um elemento do pessoal da organização responsável pelo tratamento… ou exercer as suas funções com base em um contrato de prestação de serviços”. Art. 37, 6.
E complementa dizendo que ele deve estar “…envolvido, de forma adequada e em tempo útil, com todas as questões relacionadas com a proteção de dados pessoais”. Art, 38, 1.
A University College London (UCL), em seu curso de extensão intitulado “Introduction to GDPR”, assim descreve o DPO: “é utilizado para informar e aconselhar uma organização e seus funcionários sobre suas obrigações em cumprir com a GDPR e com outras leis de proteção de dados”[6].
Quais as características que o DPO deve possuir?
Segundo a GDPR, o DPO deve:
– “…estar em condições de desempenhar as suas funções e atribuições com independência”. Recital 97:
– estar em condições de ter seu nome e seus contatos fornecidos para registro das atividades de tratamento. Art. 30, 1, a.
– permitir que seu nome e seus contatos constem de notificação de violações de dados pessoais, Art. 33, 3, b.
– ser “apoiado pelo responsável pelo tratamento… no exercício das funções a que se refere o artigo 39, a ele sendo fornecidos os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como… acesso aos dados pessoais e às operações de tratamento”. Art. 38, 2.
– ser protegido, uma vez que “….não pode ser destituído nem penalizado pelo responsável pelo tratamento… pelo fato de exercer as suas funções”. Art. 38, 3a.
– “…. reporta-se diretamente ao mais alto nível da organização…”. Art. 38, 3b.
– estar em condições de ser contatado pelos titulares dos dados “… sobre todas as questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos…”. Art. 38, 4.
– estar “… vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções…”. Art. 38, 5.
– “… ter a faculdade de pode exercer outras funções e atribuições”, desde que “…não resultem em conflito de interesses”. Art. 38, 6. Em outras palavras, um DPO não pode ocupar uma posição em uma organização na qual tenha “autoridade para decidir os fins para os quais os dados pessoais são processados e os meios pelos quais eles são processados”. Em geral, posições conflitantes estão relacionadas aos cargos de chefia, gerência ou direção, principalmente em setores como RH, TI, Financeiro ou de Saúde.
Quais as expertises desejadas para um DPO?
A plataforma de educação ALISON[7] sugere as seguintes expertises que um DPO deva possuir, para desempenhar adequadamente suas funções:
– nível de conhecimento em determinadas funções de TI específicas, em transferências internacionais de dados, e em práticas de proteção de dados específicas do setor, como processamento de dados do setor público e compartilhamento de dados;
– especialização em leis e práticas nacionais de proteção de dados, incluindo uma compreensão profunda da GDPR – em nosso caso, da LGPD;
– entendimento das operações de processamento realizadas;
– compreensão das tecnologias de informação e de segurança de dados;
– conhecimento da natureza do setor ao qual pertence sua organização (público, privado);
– capacidade de promover uma cultura de proteção de dados dentro da organização.
Além das elencadas acima, temos:
– conhecimento profundo de sua organização; e
– livre acesso à alta administração para o assunto de proteção de dados pessoais.
É importante considerar, diante do que acabamos de abordar, que o nível adequado de qualificação, de conhecimento e de suporte que o Encarregado deve possuir, deve ser determinado de acordo com o volume das operações de processamento de dados pessoais realizadas, a complexidade dessas operações, a sensibilidade dos dados processados e o nível de segurança necessário para a proteção desses dados.
Quais as Atribuições do DPO?
Além das estabelecidas pela LGPD, a GDPR elenca as seguintes atribuições para o DPO:
– fornecer “orientações sobre a execução de medidas adequadas e sobre a comprovação de conformidade pelos responsáveis pelo tratamento…, em especial no que diz respeito à identificação dos riscos relacionados com o tratamento, à sua avaliação em termos de origem, natureza, probabilidade e gravidade, bem como à identificação das melhores práticas para a atenuação dos riscos”. Recital 77;
– emitir parecer sobre a avaliação de impacto sobre a proteção de dados, efetuada pelo responsável pelo tratamento. Art. 35, 2.;
– disponibilizar seus contatos à autoridade de controle, em contatos com ela realizados pelo responsável pelo tratamento. Art. 36, 3, d.;
– informar e “…aconselhar o responsável pelo tratamento… e os funcionários que tratem os dados, a respeito das suas obrigações… e de outras disposições de proteção de dados…”. Art. 39. 1. a);
– controlar a conformidade com a GDPR, “… com outras disposições de proteção de dados da União ou dos Estados-Membros…com as políticas do responsável pelo tratamento… com a “repartição de responsabilidades, a sensibilização e formação do pessoal envolvido nas operações de tratamento de dados, e com “as auditorias correspondentes”. Art. 39.1. b);
– prestar aconselhamento… “quanto à avaliação de impacto sobre a proteção de dados…”. Art. 39. 1. c). a.;
– controlar a avaliação de impacto sobre proteção de dados. Art. 39. 1. c). b.;
– cooperar “com a autoridade” de proteção de dados. Art. 39. 1. d).;
– ser o “ponto de contato para a autoridade … sobre questões relacionadas ao tratamento…”. Art. 39. 1. e).;
– considerar “… os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento”. Art. 39. 2.;
– manter em segredo… qualquer aspecto relacionado ao seu trabalho, o que poderia incluir estar sujeito a um Termo de Compromisso;
– monitorar a conformidade com a LGPD (consentimento obtido de forma correta, nível adequado das medidas de segurança, trato correto com as dúvidas dos titulares de dados, identificação das necessidades de treinamento, etc);
– organizar e realizar auditorias;
– sensibilizar e treinar o pessoal de sua organização;
– ligar-se com a ANPD;
– desempenhar papel proativo no relato de violações à LGPD, dentro do tempo devido;
– estabelecer protocolos de comunicação imediata, entre ele e a equipe de TI ou a Equipe de Tratamento e Resposta a Incidentes Cibernéticos (ETIR/CSIRT), para que tome rapidamente ciência de qualquer violação, em termos cibernéticos, que envolva qualquer processo de tratamento de dados pessoais ou base de dados correspondente;
– certificar-se de que quaisquer alterações no processo de tratamento de dados pessoais sejam informadas, de imediato, à cúpula de sua organização; e
– assessorar a organização no sentido de que promova eventos internos de sensibilização sobre proteção de dados pessoais.
Em que situações deverá ser designado um DPO?
Segundo a LGPD, sempre que organizações forem atuar como controladoras no tratamento de dados pessoais. Mas há exceções.
O Art. 41 da LGPD reza, de forma direta, que “o controlador deverá indicar encarregado…”. Aqui não há faculdade na indicação.
Entretanto, no § 3º do mesmo artigo, A Lei diz que “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
O texto, agora, menciona que poderão ser estabelecidas, pela ANPD, hipóteses de dispensa da indicação do encarregado, em virtude de três condicionantes da entidade que irá tratar dados pessoais, e que a meu ver devem ser observadas em conjunto: a natureza (jurídico-administrativa), o porte, e o volume de operações do tratamento de dados (depende do negócio e, em consequência, do tamanho da base de dados pessoais da organização).
A GDPR afirma algo semelhante. Diz que o DPO deve ser designado sempre que: (i) “o tratamento for efetuado por … um órgão público”; (ii) “as atividades principais da organização consistam em operações de tratamento … que exijam um controle regular e sistemático dos titulares dos dados”; e (iii) “as atividades principais do responsável pelo tratamento … consistam em operações de tratamento em grande escala de categorias especiais de dados…”. Art. 37, 1. a), b), c).
A plataforma Future Learn apresenta exemplos nesse sentido: “autoridade de vigilância de saúde pública ou privada, um grupo de monitoramento de estatísticas ou um instituto de pesquisa epidemiológica”. Menciona, ainda, “as organizações que processam categorias sensíveis de dados pessoais, como hospitais ou prestadores de cuidados de saúde, sindicatos, prestadores de serviços sociais ou administradores”.
A GDPR, no Art. 37, 1 e 2, vai um pouco além, abordando a possibilidade de compartilhamento do DPO, ao dizer que organizações, públicas ou privadas, dependendo de sua estruturas organizacionais e dimensões, podem designar “um único DPO”, desde que o DPO esteja prontamente disponível para atendê-las, conforme necessário. Algo que a nossa Lei não contempla.
Como a organização deve lidar com o DPO?
A plataforma “Future Learn”, da UCL, dentre outras, recomenda algumas condutas específicas no trato das organizações em relação aos seus DPOs. Nesse sentido, a organização deve:
– envolver de maneira completa, adequada e em tempo hábil o DPO em todos os assuntos relacionados à proteção de dados; e
– fornecer ao DPO os recursos necessários para concluir as tarefas a seu encargo.
Podemos acrescentar que, ainda, que as organizações devem:
– proteger o DPO contra quaisquer ordens ou instruções contrárias que venham a receber no desempenho de suas funções;
– apoiar o DPO para que mantenha seus conhecimentos atualizados, o que pode consistir em cursos, frequência a eventos ou treinamentos;
– adotar ações para que o DPO desempenhe suas funções com independência de qualquer interferência ou supervisão indevidas;
– dar acesso ao DPO para que trate os assuntos inerentes às suas funções diretamente à cúpula da organização;
– permitir que o DPO seja diretamente contatado pelos titulares dos dados pessoais para assuntos relativos ao processamento de seus dados e ao exercício de seus direitos;
– verificar se, em caso de funções cumulativas exercidas pelo DPO, não há conflito de interesses; e
– divulgar amplamente para todo o quadro da organização quem é o seu DPO.
Conclusões
Do que abordamos no presente artigo, podemos concluir, de modo não exaustivo, sobre os DPOs:
Os DPOs, ou Encarregados, possuirão papel essencial para as organizações que atuarão como Controladoras no tratamento de dados pessoais.
Eles agirão como intermediários entre relevantes stakeholders e por isso terão de ter seu papel e importância reconhecidos.
Mesmo a LGPD não atribuindo responsabilidades ao Encarregado por não conformidade com a Lei, mas sim aos agentes de tratamento, essa situação pode não ser definitiva.
Como a LGPD menciona a possibilidade da ANPD de elaborar normas complementares sobre o Encarregado, é bastante provável que suas funções e atuação sofram considerável acréscimo.
O que as organizações podem fazer para atuar com segurança em proteção de dados pessoais e para colaborar com a atuação de seus DPOs:
– Se a organização, em virtude de suas atividades, tem de tratar dados pessoais, e visualiza que o volume a ser tratado será elevado, e que as operações não serão muito simples, então, tem de designar um Encarregado.
– A organização deve definir os papéis de forma clara, em relação à proteção de dados pessoais, proporcionando ao Encarregado a necessária transversalidade e capilaridade de atuação.
Além disso, as organizações que tratam ou irão tratar dados pessoais, devem:
– Implantar Políticas Internas sobre Proteção de Dados Pessoais;
– Implantar Programa de Conscientização e de Sensibilização sobre a importância e a criticidade do tratamento de proteção de dados pessoais;
– Implantar Política de Segurança da Informação, em uma visão abrangente e sistêmica; e
– Implantar política específica de Segurança Cibernética.
Por Arthur Pereira Sabbat, assessor militar no DSI/GSIPR