O papel do encarregado de proteção de dados e a LGPD
As diretrizes da ANPD têm buscado abordar questões relativas ao encarregado pelo tratamento de dados
Assuntos
De acordo com a Lei Geral de Proteção de Dados (LGPD), o controlador de dados é o responsável por nomear um encarregado pelo tratamento de dados (DPO, na sigla em inglês). O DPO tem a função de zelar pelas questões de privacidade e proteção de dados e de atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Como a LGPD define os DPOs
Os DPOs desempenham papel fundamental no cumprimento das disposições da LGPD pelas organizações, bem como na promoção do uso seguro dos dados pessoais e da proteção dos direitos dos titulares dos dados. Segundo os termos da LGPD, um DPO pode ser uma pessoa física ou jurídica com as seguintes atribuições:
- Receber as reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar as medidas necessárias;
- Receber comunicações da ANPD e adotar as providências cabíveis;
- Orientar e instruir os funcionários do agente de tratamento de dados e terceiros em relação às práticas de proteção de dados;
- Desempenhar outras funções determinadas pelo controlador ou estabelecidas em regras complementares que a ANPD venha a emitir no futuro.
No entanto, a LGPD não estabelece requisitos específicos para os DPOs em relação aos seguintes aspectos:
- As qualificações profissionais e expertise dos DPOs;
- A nacionalidade ou local de residência dos DPOs – portanto, a LGPD não exige expressamente que os DPOs estejam localizados no Brasil;
- A posição e o papel do DPO dentro da organização;
- O(s) idioma(s) em que o DPO deve ser capaz de se comunicar.
Diretrizes da ANPD
Para abordar essas deficiências, em 28 de maio de 2021, a ANPD emitiu o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, que estabelece diretrizes não-vinculantes que os controladores de dados devem considerar ao nomear um DPO. Os principais aspectos das diretrizes estão descritos abaixo:
- O DPO pode ser pessoa física ou jurídica, interno ou externo à organização;
- Todas as organizações devem nomear um DPO. No entanto, a ANPD tem competência para dispensar uma entidade dessa obrigação, a depender de sua natureza e porte ou do volume de dados tratados. Em janeiro de 2022, a ANPD aprovou uma resolução que determina que agentes de tratamento de pequeno porte (por exemplo, micro e pequenas empresas, startups etc.) não são obrigados a nomear um DPO, embora essa ainda seja considerada uma boa prática;
- As diretrizes recomendam que os DPOs sejam nomeados por documento formal, como um contrato de prestação de serviço ou ato administrativo (ex.: ata de uma assembleia de acionistas ou do conselho de administração);
- O DPO deve ter autonomia para exercer suas funções, embora a ANPD não tenha especificado como eles devem ser posicionados na hierarquia das organizações;
- Uma equipe de proteção de dados pode dar suporte ao DPO;
- Os controladores de dados podem determinar requisitos de qualificação profissional para seus DPOs, de acordo com as necessidades de proteção de dados e segurança da informação da organização. Isso se contrasta com outras autoridades de proteção de dados na Europa, que já têm determinados as habilidades e conhecimentos específicos que esperam dos DPOs;
- Um único DPO pode atuar em nome de diferentes entidades, desde que desempenhe suas funções com eficiência. Dessa forma, antes de nomear um DPO, os controladores de dados devem avaliar sua capacidade de lidar com solicitações de diferentes entidades;
- O DPO será responsável por garantir que a organização esteja em conformidade com a LGPD. Entretanto, os agentes de tratamento (controladores ou operadores) permanecem responsáveis por qualquer tratamento de dados realizado.
Como não são vinculantes, essas diretrizes podem ser revisadas pela ANPD a qualquer momento, que poderá considerar contribuições enviadas por terceiros. Não obstante, as diretrizes apresentam a visão atual da ANPD sobre o tema e espera-se que estas sejam utilizadas quando outras autoridades competentes e cortes brasileiras interpretarem e aplicarem as disposições da LGPD.
Como devem ser interpretadas as atuais diretrizes
Embora representem um avanço importante em relação a como a LGPD é interpretada, as diretrizes da ANPD não são suficientes para esclarecer todas as discussões jurídicas sobre a nomeação dos DPOs e suas respectivas atribuições. Por um lado, as atividades dos DPOs exigem determinadas qualificações, habilidades e conhecimentos mínimos – especialmente relacionados à comunicação, conhecimento de proteção de dados e capacidade de orientar e instruir funcionários e terceiros. Por outro, as demais competências e qualificações profissionais permanecem indefinidas e foram deixadas ao juízo de valor do controlador.
Portanto, no futuro, podemos esperar que a ANPD forneça mais orientações sobre diversos aspectos da LGPD que ainda estão vagos ou incertos. Até lá, os agentes de tratamento de dados terão de determinar o que seus programas de governança de dados esperam dos DPOs — mantendo em vista as boas práticas, bem como os regulamentos das autoridades setoriais e agências autorreguladoras.
Para mais informações sobre o tema, conheça a prática de Proteção de Dados e Cybersecurity do Mattos Filho.