O Encarregado pela Proteção de Dados na LGPD: perguntas e respostas

Block Chain Networking Digitization  - geralt / Pixabay

Sumário

1. Introdução

Conforme vimos nos artigos anteriores, a Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe novas necessidades de adequação às empresas a fim de garantir o direito a proteção de dados pessoais e a segurança das novas relações negociais no mundo conectado.

Nesse contexto, os chamados Agentes de Tratamento de Dados Pessoais possuem papel importantíssimo nas políticas de governança com a LGPD. O Capítulo VI, da Lei nº 13.709/2018, apresenta três figuras como “agentes de tratamento de dados pessoais”, quais sejam: controlador, operador e encarregado. Tais são os sujeitos envolvidos na relação jurídica de tratamento de dados pessoais, em que se verifica como partes o titular dos dados, e os agentes de tratamento, controlador operador e encarregado.[1]

Neste artigo vamos aprofundar a análise sobre a figura do encarregado de proteção de dados pessoais, conceitos e atribuições conferidos pela LGPD. Para informações sobre os demais agentes (controlador e operador), recomendamos a leitura do artigo “Os agentes de tratamento de dados pessoais na LGPD”, de autoria da Prof. Dr. Cíntia Rosa Pereira de Lima, Presidente do IAPD.

2. Afinal, quem é o Encarregado?

De acordo com o art. 5º, inc. VIII, da LGPD, o encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD)”. Desse modo, o Encarregado pode ser pessoa natural ou jurídica, indicada pelo responsável para atuar como canal de comunicação, nos termos do art. 41, caput, da LGPD.[2]

Cumpre ressaltar que a identificação do Encarregado pelo Tratamento de Dados Pessoais deve constar de maneira clara e objetiva, de preferência com indicação no site do responsável, conforme dispõe o art. 41, §1º, da Lei n. 13.709/2018.

Em suma, o Encarregado pode ser pessoa natural funcionária do próprio controlador ou empresa especializada em proteção de dados pessoais. De todo modo, é imprescindível que o encarregado da proteção de dados pessoais tenha conhecimento sobre proteção de dados pessoais, sobre a LGPD e os padrões de segurança da informação.

3. Quais são as funções do Encarregado?

Conforme disposto no art. 5º, inc. VIII, da LGPD, citado acima, a função principal do Encarregado do Tratamento de Dados Pessoais é estabelecer o diálogo entre os diferentes players inseridos no contexto do tratamento de dados pessoais (controlador, operador, titulares dos dados e ANPD).

Em sequência, o parágrafo segundo do art. 41, da Lei n. 13.709/2018, especifica algumas atividades do Encarregado, quais sejam: (i) “aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências”; (ii) “receber comunicações da autoridade nacional e adotar providências”; (iii) “orientar os funcionários e os controlados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais”; e (iv) “executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”.

Trata-se de rol não exaustivo, pois a Autoridade Nacional de Proteção de Dados (ANPD) poderá estabelecer normas complementares sobre as atribuições do encarregado, inclusive, poderá prever hipóteses em que o agente será dispensado, a depender da natureza e do porte da entidade ou volume das operações de tratamento de dados (art. 41, §3º, da LGPD). Daí a importância das diretrizes da autoridade nacional também na garantia de segurança jurídica para a função e atividade do encarregado.

4. O Encarregado é o mesmo que o Data Protection Officer (DPO)?

Data Protection Officer (DPO) é o agente previsto no Regulamento Geral Europeu (General Data Protection Regulation – GDPR). Conforme o Regulamento Europeu citado, o DPO pode ser funcionário (pessoa natural) ou empresa especializada (pessoa jurídica), cujas funções são: (i) informar e aconselhar o responsável pelo tratamento ou subcontratante, bem como, os trabalhadores que tratem os dados a respeito de suas obrigações; (ii) verificar o a conformidade da atividade de tratamento de dados com a GDPR e outras disposições da União Europeia sobre a matéria; (iii) prestar aconselhamento, quando for solicitado, relativo à avaliação de impacto sobre a proteção de dados; (iv) cooperar com a autoridade de proteção de dados; e (v) manter comunicação com os titulares dos dados pessoais (artigo 39 da GDPR).

Sendo assim, observa-se que as atribuições do DPO ultrapassam um mero “canal de comunicação entre os titulares, a ANPD e o controlador”. Por isso, entende-se que a figura do DPO, previsto na GDRP, não se confunde com o Encarregado, constante na LGPD.

Ao contrário, o encarregado se aproxima da figura do representative (“representante”), que consta no artigo 27 do GDPR, cuja função é representar o “controlador” e o “processador” perante suas obrigações. Em outras palavras, o “representante” é o elo de comunicação entre o controlador e o operador, os titulares dos dados pessoais e as autoridades de proteção de dados, à semelhança das atribuições do art. 41, da LGPD, conferidas ao encarregado.[3]

Portanto, o encarregado, na forma disciplinada pela Lei n. 13.709/2018, não é o Data Privacy Officer (DPO) europeu, conforme suas atribuições e características conferidas pela GDPR. Por outro lado, caso a ANPD inaugurar novas funções ao agente, este poderá ser transformado em um DPO, nos termos do art. 41, §3º, da LGPD, já citado.[4]

5. É necessário certificação para ocupar cargo de Encarregado?

Via de regra, não é necessário obter certificado para atuar como Encarregado de Tratamento de Proteção de Dados no Brasil, visto que a LGPD não prevê a exigência de certificação nesse caso. Por outro lado, o encarregado deve ter conhecimentos jurídicos e informáticos suficientes para realizar as atribuições previstas na Lei, por isso, é comum que empresas-contratantes determinem a apresentação de certificados ou demonstração de experiência prévia na área de proteção de dados para indicação do encarregado.

Importante ressaltar que as certificações atinentes ao encarregado se concentram no âmbito da certificação institucional, realizada por instituição ou ente independente e responsável por certificar processos, produtos, serviços, sistemas e pessoas, em avaliação segundo a Lei Geral de Proteção de Dados Pessoais. Desse modo, a certificação institucional para os encarregados objetiva comprovar as competências necessárias para o exercício das atividades técnicas específicas.[5]

Em que pese a ausência de imposição de certificado para atuar como encarregado, a certificação pode conferir maior segurança na contratação por parte do controlador-responsável. Aliás, o certificado, nesse caso, serve como instrumento que auxilia a verificação das competências e habilidades necessárias ao cargo de encarregado, quais sejam: (i) expertise na Lei Geral de Proteção de Dados Pessoais; (ii) compreensão das operações de tratamento de dados pessoais; (iii) conhecimentos em tecnologia de informação e segurança de dados; (iv) conhecimento do setor de mercado em que atuará; (v) habilidade de promover a cultura de proteção de dados na organização-contratante.[6]

A fim de compreender mais a respeito das certificações no âmbito da LGPD, recomendamos acessar o 3º Webinar IAPD, disponível no canal IADP no YouTube.[7]

6. Quais empresas precisam indicar um Encarregado de Proteção de Dados Pessoais?

A princípio, todas as empresas que realizam tratamento de dados pessoais, na forma do art. 5º, X, da Lei Geral de Proteção de Dados, deverão indicar um encarregado para estabelecer o canal de comunicação entre os envolvidos na relação de tratamento de dados pessoais, inclusive, as pessoas jurídicas de direito público (art. 23, III, da LGPD). Entretanto, o art. 41, §3º, da LGPD prevê a possibilidade de a ANPD dispor sobre hipóteses em que o referido agente será dispensado, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Cumpre destacar que o GDPR determinar a obrigatoriedade do DPO em três hipóteses: a) tratamento efetuado por uma autoridade ou organismo público, exceto os tribunais no exercício de funções jurisdicionais; b) quando as atividades principais do responsável exigirem um controle regular e sistemático dos titulares de dados em grande escala; ou c) quando as atividades do responsável pelo tratamento consistam em operações de tratamento em grade escala.[8]

Sendo assim, observa-se que, ao contrário do GDPR, o legislador nacional decidiu atribuir, à Autoridade Nacional de Proteção de Dados, a responsabilidade de prever a dispensa do encarregado, assim, até advento de norma complementar da ANPD, todas as organizações que realizam tratamento de dados pessoais devem indicar um encarregado.

7. Qual a responsabilidade do Encarregado em casos de danos?

De acordo com o art. 42, caput, da Lei n. 13.709/2018, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano a outrem, é obrigado a repará-lo. Assim, a LGPD eximiu o encarregado da responsabilização por eventual dano a terceiro no tratamento de dados pessoais.

Porém, entende-se que, sendo o encarregado funcionário do controlador, são aplicáveis as leis trabalhistas quanto à responsabilidade do empregado pelos danos causados ao empregador no exercício de suas funções, conforme art. 462, §1º, da CLT. Ao passo que, se o encarregado for pessoa jurídica, terá responsabilidade subjetiva na forma da convenção estabelecida em contrato de prestação de serviços celebrado entre as partes.[9]

8. Conclusão

É evidente a importância do Encarregado de Proteção de Dados Pessoais para o compliance com a Lei Geral de Proteção de Dados (LGPD), visto que é peça fundamental no diálogo entre controladores, operadores, titulares de dados pessoais e ANPD. Ademais, a figura do encarregado está associada ao princípio da transparência, previsto no art. 6º, inc. VI, da LGPD, pois é um dos instrumentos que assegura a transmissão de informações claras e precisas aos titulares, além, de seguir o princípio da cooperação, já que estimula a colaboração de todos os agentes e cidadãos na construção da cultura de proteção de dados.

9.Referências

 


[1] LIMA, Cíntia Rosa Pereira de. Os agentes de tratamento de dados pessoais na LGPD. Instituto Avançado de Proteção de Dados (IAPD), 03 nov. 2019. Disponível em: https://iapd.org.br/os-agentes-de-tratamento-de-dados-pessoais-na-lgpd/. Acesso em: 28 nov. 2020.

[2] LIMA, Cíntia Rosa Pereira de. Agentes de Tratamento de Dados Pessoais (Controlador, Operador e Encarregado pelo Tratamento de Dados Pessoais). In: LIMA, Cíntia Rosa Pereira de. (coord.). Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina, 2020.

[3] LIMA, Cíntia Rosa Pereira de. Agentes de Tratamento de Dados Pessoais (Controlador, Operador e Encarregado pelo Tratamento de Dados Pessoais). In: LIMA, Cíntia Rosa Pereira de. (coord.). Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina, 2020.

[4] LIMA, Cíntia Rosa Pereira de. Agentes de Tratamento de Dados Pessoais (Controlador, Operador e Encarregado pelo Tratamento de Dados Pessoais). In: LIMA, Cíntia Rosa Pereira de. (coord.). Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina, 2020.

[5] FILHO, Adalberto Simão; RODRIGUES, Janaina de Souza Cunha. Certificarte: a arte da certificação em LGPD. Migalhas de Proteção de Dados, 11 set. 2020. Disponível em: https://migalhas.uol.com.br/coluna/migalhas-de-protecao-de-dados/333202/certificarte–a-arte-da-certificacao-em-lgpd. Acesso em: 29 nov. 2020.

[6] Guidelines on Data Protection Officers (DPOs). Article 29, Data Protection Working Party, 13 dez. 2016. Disponível em: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048. Acesso em: 29 nov. 2020.

[7] 3º Webinar IAPD: Lei Geral de Proteção de Dados Pessoais e Certificação. IAPD (YouTube). Disponível em: https://www.youtube.com/watch?v=8IbSjnvkbWU.

[8] LIMA, Cíntia Rosa Pereira de. Agentes de Tratamento de Dados Pessoais (Controlador, Operador e Encarregado pelo Tratamento de Dados Pessoais). In: LIMA, Cíntia Rosa Pereira de. (coord.). Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina, 2020.

[9] LIMA, Cíntia Rosa Pereira de. Agentes de Tratamento de Dados Pessoais (Controlador, Operador e Encarregado pelo Tratamento de Dados Pessoais). In: LIMA, Cíntia Rosa Pereira de. (coord.). Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina, 2020


Facebook


Instagram


Youtube

+ posts

Artigos relacionados

Dever de Notificação dos Incidentes de Segurança com Dados Pessoais – Parte 1

Neste artigo, você compreenderá o que são incidentes de segurança à proteção de dados e como se efetivam as notificações dos incidentes de segurança. Assim, você verá os principais aspectos do dever de notificação dos incidentes de segurança com dados pessoais. Além disso, serão analisados os principais dispositivos do ISO 29.134/2017.

Respostas