Últimas notícias

Fique informado

Quem efetivamente conhece o papel do Encarregado de Dados?

9 de junho de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Apesar de se falar muito sobre o Encarregado de Proteção de Dados, ainda não há uma sedimentação sobre suas funções e limites de sua atuação

Por Caio Matias Borba, Mateus Reis dos Santos, Bruna Marques da Silva

Apesar de se falar muito sobre o Encarregado de Proteção de Dados (Data Protection Officer ou DPO), ainda não há uma sedimentação sobre suas funções e limites de sua atuação. Essa situação somente será sanada com regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD) sobre as  funções do encarregado, prevista para o primeiro semestre de 2022[1].

Recentemente, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que trata da aplicação da LGPD para agentes de pequeno porte, estabeleceu algumas disposições sobre a figura do encarregado. De acordo com a Resolução, algumas organizações de pequeno porte estão livres da obrigação de indicar um DPO, por vezes, onerosa para pequenos negócios[2].

Porém, há diversas atividades e contextos em que o envolvimento do DPO é recomendável e essencial. A própria Resolução refere que a indicação do DPO para agentes de pequeno porte será considerada política de boas práticas e governança. Por isso, retomar a importância da existência do DPO pode auxiliar os agentes de pequeno porte na interpretação das recentes disposições da Resolução sobre o encarregado.

Para o bom funcionamento do programa de governança em privacidade, é essencial que o encarregado tenha independência para emitir seus juízos e recomendações, de acordo com as situações que lhe são apresentadas. A independência torna viável o posicionamento do encarregado em uma perspectiva de autonomia, sem o viés de ter que apoiar práticas que oferecem muitos riscos devido a um posicionamento mercadológico da organização[3].

Isso possibilita efetivar a sua atribuição de conciliar os interesses do negócio à proteção da privacidade e aos direitos dos titulares de dados pessoais, minorando riscos relativos à segurança da informação e reputacionais. Assim, a ação independente do DPO é essencial para estruturação da governança e boas práticas em proteção de dados, e na expansão da cultura de privacidade aos colaboradores da empresa.

No mais, o encarregado possui atuação preventiva. Ao agir de modo contínuo e de forma qualitativa, o DPO deverá voltar suas análises à maneira como são tratados os dados pessoais, contribuindo para que lacunas nos processos sejam sanados e incidentes de segurança e violações a dados pessoais sejam evitados[4].

Já a atuação proativa do DPO contempla, igualmente, a assessoria para revisões contratuais, melhorias de processos de empresas e negócios e, ainda, o direcionamento de soluções para continuidade da adequação à LGPD, a partir do dinamismo das operações com tratamento de dados pessoais.

Por exemplo, é comum que uma empresa, que ainda não passou por um projeto de adequação à LGPD, não possua políticas ou termos relacionados ao tratamento de dados pessoais. Nesse sentido, é parte das atribuições do DPO, nas perspectivas acima referidas, sinalizar sobre a necessidade da criação ou melhoria desses documentos, adequando aqueles já existentes à conformidade. Isso trará maior segurança e condições de negócio não apenas para fornecedores e parceiros, mas para a credibilidade para a empresa perante a sociedade e clientes.

Além disso, a Guideline on Data Protection Officers (“DPOs”) possibilita identificar essas atuações multifatoriais, a medida em que estabelece primordialmente garantir que o DPO seja informado e consultado desde o início do tratamento de dados pessoais, garantindo evidência da implementação do privacy by design. Ainda, há a indicação de que o DPO deve ser visto como um elemento-chave das tomadas de decisão, integrando discussões e grupos relevantes que atuam com tratamento de dados pessoais na organização[5].

Considerando o contexto dos agentes de tratamento de pequeno porte, uma das mudanças estabelecidas pela Resolução CD/ANPD nº 2  é a dispensa da obrigatoriedade de indicação de um DPO, com exceção das hipóteses previstas no art. 3º da normativa[6].

Em complementação, o art. 11 determina dois aspectos que merecem atenção.  O primeiro deles é que, quando o agente de tratamento não realizar a indicação do encarregado, será necessário disponibilizar um canal de comunicação com o titular de dados (parágrafo 1º do art. 11).

Essa previsão se destina a atender à exigência prevista no art. 41, parágrafo 2º, inciso I da LGPD, ou seja, a atribuição do encarregado de aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e providências. Sendo assim, as empresas de pequeno porte deverão disponibilizar um e-mail ou algum tipo de canal para possibilitar o recebimento de informações e o exercício de seus direitos.

O segundo é a determinação de que, apesar da dispensa de obrigatoriedade, a indicação do encarregado será considerada política de boas práticas e governança para a finalidade da disposição do art. 52, parágrafo 1º, inciso IX da LGPD (parágrafo 2º do art. 11). De acordo com o dispositivo da LGPD, as sanções administrativas serão aplicáveis pela ANPD considerando a situação em questão, sendo a adoção de política de boas práticas e governança um dos parâmetros de análise para a aferir a atribuição da responsabilização.

Outro aspecto que, de algum modo, se conecta com a previsão do art. 11 é a disposição do art. 16, que indica a possibilidade de que a ANPD determine o cumprimento de obrigações que dispensou ou flexibilizou na Resolução, caso a situação envolva aspectos que motivem a retomada das medidas, tais como natureza ou o volume das operações e riscos para os titulares.

Isso significa que há uma consideração, pela ANPD, de que os agentes de tratamento de pequeno porte estarão inseridos em contextos distintos. Ainda que a estrutura negocial inicialmente oportunize relativizações previstas na LGPD, é possível que outros aspectos justifiquem um retorno ao cumprimento, o que também pode se aplicar para as hipóteses do encarregado.

Da análise da normativa, é possível compreender que apesar da dispensa da obrigatoriedade, a importância da existência do DPO e suas atribuições não foi desconsiderada pela ANPD na Resolução. Pelo contrário, ao considerar a opção de possuir um DPO uma de boa prática de governança, a ANPD conecta a existência da figura aos critérios interpretativos de análise para determinação de eventuais sanções administrativas, o que pode ser crucial no plano de mitigação de riscos das empresas de pequeno de porte, a depender da realidade das operações com tratamento de dados pessoais.

Assim, o DPO não deve ser compreendido como um elemento acessório, mas parte de uma organização empresarial comprometida com a privacidade e proteção de dados, aliado à estrutura de um comitê de privacidade.

Contar com a figura do encarregado entre os agentes de tratamento de pequeno porte é um aspecto a  ser considerado, uma vez que, a depender do caso, a indicação se tornará uma medida proativa e estratégica de precaução e prevenção na estrutura de conformidade à privacidade e proteção de dados.

Sobre os autores

Caio Matias Borba é especialista em proteção de dados e compliance, DPO certificado pela ITCERTS e Certified Expert in Compliance (CEC) – Instituto ARC e advogado da Lee, Brock, Camargo Advogados.

Mateus Reis dos Santos Alves  é Pós-graduando em Direito Digital UERJ/ITS e  advogado da Lee, Brock, Camargo Advogados.

Bruna Marques da Silva  é Mestre  em Direito pelo Programa de Pós-graduação em Direito da Unisinos. Pós-graduanda em Direito Digital e Proteção de Dados e  advogada da Lee, Brock, Camargo Advogados.


[1] BRASIL. Autoridade Nacional de Proteção de Dados. Órgão: Presidência da República. Portaria nº 11 de 27 de janeiro de 2021. Torna pública a agenda regulatória para o biênio 2021-2022. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 09 fev. 2022.

[2] BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2 de 2 de janeiro de 2022. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em: 09 fev. 2022.

[3] CENTRE FOR INFORMATION POLICY LEADERSHIP (CIPL). CENTRO DE DIREITO, INTERNET E SOCIEDADE (CEDIS-IDP). O Papel do/a Encarregado/a conforme a Lei Geral de Proteção de Dados Pessoais (LGPD). 2021. Disponível em: – https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/[pt]_cipl-idp_paper_dpo_under_the_lgpd__27_sept_2021_.pdf. Acesso em: 09 fev. 2022.

[4] INFORMATION COMISSIONER’S OFFICE (ICO). Guide to the General Data Protection Regulation (GDPR). Data Protection Officers. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officers/#ib7. Acesso em: 09 fev. 2022.

[5] ARTICLE 29 WORKING PARTY. European Comission. Guidelines on Data Protection Officers (‘DPOs’). 2016. Disponível em: https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf. Acesso em: 09 fev. 2022.

[6] BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2, de 2 de janeiro de 2022.     . Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em: 09 fev. 2022.

Universo TOTVS debate sobre engenharia de dados, front end, qualidade de código entre outros temas

ABIMED promove debate sobre convergência nas normas de regulação de privacidade de Dados da UE, Brasil e USA

Migrar dados para a nuvem não é simplesmente fazer um plugin

CATEGORIAS

Carreiras Notícias