A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 17 de julho deste ano o regulamento sobre a atuação do Encarregado pelo Tratamento de Dados Pessoais, denominado como “Data Protection Officer” (DPO).
A norma foi publicada no Diário Oficial da União e trata-se de uma figura criada pela Lei Geral de Proteção de Dados Pessoais (LGPD), com o objetivo de orientar a organização para a qual trabalha em relação às melhores práticas no tratamento de dados.
Paulo Lilla, sócio de Tecnologia, Proteção de Dados e Propriedade Intelectual do Lefosse, analisa os pontos mais importantes dessa norma. Confira:
O que é o encarregado pelo tratamento de dados? Na prática, qual é essa função?
Lilla: A posição de Encarregado pelo tratamento de dados (“Encarregado”), comumente denominada “Data Protection Officer” (DPO) pelo mercado, foi criada pela Lei Geral de Proteção de Dados Pessoais (LGPD). De acordo com a LGPD, Encarregado é a pessoa indicada pelo agente de tratamento (controlador e operador) para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O objetivo é ter uma figura responsável por assegurar a conformidade da organização com a LGPD. As atividades do encarregado incluem aceitar reclamações e comunicações dos titulares de dados, receber comunicações da ANPD, orientar os funcionários e os contratados da entidade em relação à proteção de dados pessoais, dentre outras.
Quem pode atuar neste cargo?
Lilla: A Resolução CD/ANPD No. 18/2014, que aprovou o Regulamento sobre a atuação do encarregado, dispõe que o encarregado pode ser uma pessoa física (integrante do quadro organizacional ou externo) ou uma pessoa jurídica. A nova norma da ANPD deixou claro que não é necessário que o encarregado possua formação ou certificações específicas, como já havia sido aventado por algumas entidades de classe e associações nos últimos anos.
Cabe ao agente de tratamento estabelecer as qualificações profissionais necessárias para o desempenho das atribuições do encarregado.
Um executivo ou funcionário da organização pode acumular essa função?
Lilla: É preciso atenção para o exercício simultâneo de outros cargos com a função de encarregado. O novo Regulamento da ANPD prevê que o profissional poderá acumular funções, desde que isto não resulte em situações de conflito de interesses. Tais situações podem ocorrer se houver acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador.
Embora o Regulamento seja vago a esse respeito e não apresente critérios claros para aferição de uma situação de conflito de interesses, esta poderia ocorrer, por exemplo, quando um diretor de Tecnologia da Informação, que também atue como encarregado, vier a decidir sobre novas ferramentas tecnológicas com potencial de impactar direitos de proteção de dados dos funcionários, como ferramentas de monitoramento de produtividade ou análises comportamentais via sistema de inteligência artificial. Nesse caso, é possível, a depender da situação em concreto, que a posição de diretor de TI (e a necessidade de atender obrigações relacionadas a essa função) impacte negativamente sua capacidade, como encarregado, de avaliar potencial violação da LGPD em decorrência da utilização da ferramenta em questão.
O que a nova norma, que foi publicada no mês passado pela ANPD, muda para as empresas?
Lilla: O regulamento não altera regras para atividades de tratamento de dados pessoais por agentes de tratamento, mas pode exigir a alteração de documentos e estruturas de governança em proteção de dados. Por exemplo, o texto indica a necessidade de nomeação formal do encarregado, por meio de documento escrito, assinado e datado, o que não foi realizado por todas as organizações. Neste caso, será necessária a formalização da nomeação do encarregado por meio de documento específico.
Além disso, o Regulamento indica a necessidade de divulgar a identidade do encarregado junto com suas informações de contato, prática que, embora já prevista na LGPD, não é adotada pela maioria dos agentes de tratamento em razão da indefinição acerca da regulamentação dessa obrigação e dos riscos de exposição potencialmente desnecessária das pessoas que ocupam o cargo de encarregado. Portanto, as políticas e avisos de privacidade deverão ser alterados para incluir essas informações.
É importante destacar também que certas organizações multinacionais utilizam estrutura de governança pela qual não há a nomeação de encarregado (o chamado DPO, internacionalmente) no Brasil, de modo que uma equipe local responde ao DPO estrangeiro. Essa estrutura precisará ser revista, diante da previsão, no Regulamento, de que o encarregado deverá ser capaz de comunicar-se com os titulares e com a ANPD, de forma clara e precisa e em língua portuguesa.
Toda empresa precisa ter um Encarregado?
Lilla: A nomeação de Encarregado é dispensada apenas para agentes de tratamento de pequeno porte, nos termos da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que ainda assim devem disponibilizar canal de comunicação com o titular de dados. Ademais, nos termos do novo Regulamento, a indicação de encarregado por operadores de dados é facultativa, mas será considerada política de boas práticas de governança caso optem pela indicação.
A aplicabilidade prática dessa previsão, no entanto, é questionável, vez que, como regra, agentes de tratamento de dados serão controladores ao menos dos dados pessoais de seus próprios colaboradores.
Ainda há questões em aberto sobre o trabalho do Encarregado?
Lilla: De forma geral, era esperado que o Regulamento trouxesse mais clareza acerca das regras para verificação de conflito de interesse – o texto abordou esse tema de forma bastante subjetiva, o que acaba por reforçar a insegurança jurídica que já existia sobre esse assunto desde a entrada em vigor da LGPD. Agora teremos que aguardar o posicionamento da ANPD na análise de casos concretos de possível conflito de interesse, para maior clareza da interpretação do órgão sobre o tema.
Além disso, a previsão da obrigação de divulgação da identidade do encarregado, embora já discutida anteriormente, é um ponto a ser questionado, uma vez que é possível o adequado recebimento, pela organização, de contato e solicitações de titulares de dados, sem que seja necessária a divulgação pública da identidade do encarregado. Essa exposição desnecessária acaba por tornar o encarregado vulnerável à possível violação de sua privacidade, com potencial de danos materiais e morais decorrentes de fraudes e roubo de identidade. Desse modo, esta disposição poderia, eventualmente, constituir uma violação do princípio da necessidade previsto na própria LGPD.
Quais são agora os próximos passos para as empresas se adequarem em relação ao encarregado?
Lilla: Nossa recomendação é que as empresas revisem suas estruturas de governança para se adequarem ao novo Regulamento.