Com o progresso da tecnologia, a partir de meados do século XX, iniciou-se um intenso fluxo de dados de uma maneira nunca vista na história, surgindo, assim, uma nova nomenclatura, a sociedade da informação.
Uma das grandes consequências da informatização da vida moderna é a possibilidade de registrar quase todos os atos praticados pelos seres vivos e até mesmo das máquinas, que podem ser coletados e utilizados para diversas finalidades.
Tais fatos aceleraram a evolução do estudo sobre privacidade, o que ensejou a criação de um direito autônomo, a proteção dos dados pessoais. Com isso, a União Europeia, em 2018, trouxe ao mundo uma legislação pioneira sobre a matéria, a General Data Protection Regulation, conhecida pela sigla GDPR, que influenciou outros países. E o Brasil, inspirado nessa regulamentação, publicou a Lei nº 13.852/2019, chamada de Lei Geral de Proteção de Dados Pessoais (LGPD).
Para contribuir com a implantação, controle e governança da privacidade definida pelas diretrizes impostas pela GDPR, a legislação trouxe a figura do Data Protection Officer (DPO), cargo obrigatório para empresas e instituições públicas em hipóteses específicas da lei, instituindo também tarefas mínimas, atribuições e responsabilidades desse novo cargo. Seguindo essa linha, a LGPD institui similarmente esse novo cargo chamado de Encarregado de Dados, com premissas mais simples e com questões a serem discutidas pela Autoridade Nacional de Proteção de Dados (ANPD).
Nesse contexto, é importante traçar uma análise entre os referentes cargos para avaliar as diferenças dessa nova função tão importante para a manutenção da conformidade em proteção de dados pessoais. Vale ilustrar, a importância dessa função que extrapola a letra da lei, pois caberá a este a coordenação e orientação das instituições sobre as normas de proteção de dados e a implementação das melhores práticas jurídicas e de sistemas de informação.
No âmbito europeu, o cargo de DPO não é novo para os europeus, já estava previsto desde a Diretiva 95/46/CE e depois consagrado no Artigo 24 do Regulamento (CE) 45/2001 que previa também que cada instituição/órgão nomeasse pelo menos um Oficial de Proteção de Dados (DPO) para garantir de forma independente a aplicação interna das diretrizes.
Já a lei alemã, considerada uma das primeiras leis sobre o assunto, chamada de BDSG de 1977, em seu § 29 já definia as tarefas do DPO como por exemplo “ manter uma visão geral do tipo de dados pessoais armazenados e das finalidades e objetivos comerciais, cujo cumprimento requer o conhecimento desses dados, de seus destinatários regulares e do tipo de sistemas automatizados de processamento de dados utilizados”
Por meio do Report on the Status of Data Protection Officers, realizado em 2012 pela Autoridade Europeia de Proteção de Dados (AEPD) foi possível levantar informações relacionadas aos DPOs de todas as instituições e órgãos da UE, como: nome, duração do mandato, status, recursos, posição e outros. Com isso, foi possível ter uma visão geral desse cargo nas instituições, bem como avaliar a consolidação das funções e atribuições dessa nova forma de assegurar as medidas sobre proteção de dados.
Nesse sentido, a GDPR continuou com as mesmas diretrizes, exigindo a contratação de DPO para o efetivo controle, adequação e fiscalização das normas de proteção. É pertinente que uma pessoa ou empresa seja responsável por essas atividades dentro das instituições, possibilitando uma maior assertividade às regras impostas, garantindo o acesso dos titulares aos seus direitos e a interface com a Autoridade de Dados.
Assim, o papel principal do DPO é garantir que a organização processe os dados pessoais de seus funcionários, clientes, fornecedores ou quaisquer outros indivíduos em conformidade com as regras de proteção de dados aplicáveis.
A legislação no Art. 38 estabelece que a posição de DPO é protegida de possíveis interferências da organização e tem como obrigação a confidencialidade no desempenho de suas tarefas, devendo, ainda, se reportar diretamente ao mais alto nível de gestão da organização. Vale ressaltar que o DPO não é pessoalmente responsável pela conformidade da proteção de dados, essa função é do controlador ou processador, a sua responsabilidade é assegurar as normativas da GDPR.
Já o Art. 39 elenca as funções do DPO, como por exemplo: informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros; controlar a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes, dentre outras funções.
Entretanto, conforme a Autoridade Europeia de Proteção de Dados, a European Data Protection Supervisor, chamada de EDPS, que tem como obrigação legal assegurar que os órgãos e instituições respeitem o direito à privacidade e à proteção de dados na Europa, elencou em seu sítio eletrônico outras atribuições inerentes ao cargo DPO, por exemplo: criar um registo das operações de tratamento na instituição e comunicar aquelas que apresentam riscos específicos (as chamadas verificações prévias) e cooperar respondendo aos seus pedidos sobre investigações, tratamento de reclamações e inspeções.
Embora a GDPR não liste qualificações específicas, estipula que o nível de conhecimento e experiência exigidos do DPO de uma organização deve ser determinado de acordo com a complexidade das operações de processamento de dados que estão sendo realizadas.
Com isso, o site GDPR.EU, uma organização que tem como objetivo aconselhar as organizações e indivíduos sobre o Regulamento Geral de Proteção de Dados, elencou alguns skills para o cargo, além dos elencados anteriores, por exemplo, experiência em: programação ou infraestrutura de TI; auditorias em sistemas de informação, em certificação e avaliações de risco; certificações como as emitidas pela International Association of Privacy Professionals (IAPP) e da Association of Data Protection Officers, bem como capacidade de promover uma cultura de proteção de dados dentro da organização e boa comunicação.
Conclui-se, então, que o DPO tem um papel de alto perfil e de extrema responsabilidade, exige-se experiência em leis, práticas de proteção de dados nacionais e europeias, conhecimento profundo na GDP, bem como domínio em sistemas de informação.
No tocante a obrigatoriedade da contratação de um oficial de proteção de dados a GDPR no Art, 37 elenca os seguintes casos: autoridade pública, o tratamento de dados pessoais é realizado por organismo público ou autoridades públicas, com isenções concedidas a tribunais e outras autoridades judiciárias independentes; monitorização regular e em grande escala: o tratamento de dados pessoais é a atividade central de uma organização que observa regular e sistematicamente os seus “titulares de dados” em grande escala; categorias de dados especiais em grande escala, se o processamento de categorias de dados especiais fizer parte da atividade principal de uma organização e em grande escala.
Frisa-se que a definição de dados em grande escala pode ser aplicada em organização de tamanho relativamente modesto, sendo mandatório a nomeação de um DPO, lembrando que é possível a contratação de forma compartilhada com outras empresas, visando a diminuição de custos.
Outro aspecto importante é que a GDPR permite atribuir outras tarefas e funções ao DPO, desde que não resultem em um conflito de interesses com as tarefas principais do cargo.
Ressalta-se ainda que a GDPR não exige que cada controlador ou processador indique um DPO quando as principais atividades raramente envolvam monitoramento de dados dos titulares e/ou pouca violação dos direitos desses titulares, quando não processar informações pessoais de categorias especiais e quando está apenas processando informações pessoais da categoria especial de um pequeno grupo de titulares de dados.
No entanto, recomenda-se, ao menos, que sejam mantidos registros dos processos. Note-se que é desejável também a indicação de um colaborador para desempenhar a função de forma voluntária, podendo ser chamado de Oficial de Privacidade, por exemplo.
Insta apregoar que a GDPR permite que os estados membros especifiquem outras circunstâncias nas quais um DPO deve ser nomeado. Por exemplo, a lei alemã de proteção de dados exige que todas as organizações com dez ou mais funcionários que processam dados pessoais permanentemente designem um DPO.
Já a LGPD instituiu o cargo encarregado pelo tratamento de dados pessoais como atribuição que advém da referência internacional GDPR. Conforme Art. 5º, inciso VIII, define-se encarregado como a pessoa indicada pela empresa para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O texto original da LGPD previa o encarregado como uma pessoa natural, detentor de conhecimento jurídico-regulatório, com garantia da autonomia técnica e profissional no exercício do cargo. No entanto, a Medida Provisória nº 869 retirou a palavra “natural” e posteriormente a Lei nº 13.853 de 2019 introduziu a possibilidade das empresas atuarem como DPO e excluiu todos os demais quesitos.
Com isso, atualmente é possível a contratação do chamado DPO as a services, o que possibilitou qualquer empresa atuar nessa área, não apenas o nicho jurídico.
O tema sobre o encarregado é tratado de forma específica na Seção II – Do Encarregado pelo Tratamento de Dados Pessoais, no Art. 41 onde traz dentre outras informações as atribuições do Encarregado, como: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Outra atribuição que pode ser imputada ao encarregado é a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (Art. 5, XVII).
Observa-se que tanto na GDPR quanto no LGPD, cabe ao responsável do cargo receber do controlador as informações sobre as atividades de tratamento de dados pessoais, ser interlocutor com a Autoridade de Proteção de Dados Pessoais e com os titulares, orientar os colaboradores a respeito das melhores práticas e zelar pelas leis de proteção de dados pessoais e privacidade.
Diferentemente da GDPR, que traz em seu Art. 37 a exigência de conhecimentos especializados no domínio do direito e das práticas de proteção de dados, exigindo ainda capacidade para desempenhar as funções elencadas no Art. 39, a LGPD excluiu a questão do domínio jurídico e as atribuições são bem sucintas.
Ademais, não trouxe as seguranças previstas no Art. 38, onde o DPO deve desempenhar suas funções com autonomia, não pode receber instruções para o exercício das suas funções, não pode ser destituído nem penalizado em razão do exercício de suas funções, tampouco abordou a questão da hierarquização do cargo.
E ainda, a LGPD não apresentou em seu bojo a possibilidade do encarregado exercer outras funções e atribuições, sequer a possibilidade de compartilhamento, assim como fez a GDPR, o que trouxe preocupação para as empresas brasileiras.
Atualmente 100% das instituições precisam nomear um Encarregado, a obrigação da forma que foi disposta, é ampla, haja vista que qualquer empresa possui, no mínimo, os dados pessoais de seus colaboradores, tornando-a elegível para a nomeação.
Outra obrigação que traz a lei é a “identidade e as informações de contato do Encarregado deverão ser divulgados publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador”, conforme parágrafo 1 do art. 41.
Vale ressaltar que o encarregado é responsável por fornecer instruções ao controlador e aos colaboradores no tocante a questões sobre proteção de dados e privacidade, sendo assim, caso venha operar algum comando inadequado que porventura venha causar danos aos titulares, há a possibilidade de ser responsabilizado, conforme disposição III do Art.43.
Por fim, um ponto uniforme entre as legislações é sobre o tema responsabilidade, uma vez que afirmam que cabe ao controlador e/ou processador (operador) o cumprimento das leis de proteção, bem como possíveis penalidades, recaindo para o DPO ou Encarregado de Dados a missão de contribuir para a governança em privacidade e proteção de dados. Observou-se que tanto o DPO como o Encarregado de Dados têm um papel central na implementação e aplicação efetiva dos princípios e direitos previstos nas legislações de proteção de dados, devendo atuar com um fiscal, pois é o pilar de uma jornada permanente de conformidade.
Autora: Luciana de Paula Soares