No cenário da proteção de dados são vários atores que participam. Como já trabalhado em colunas anteriores,1 a LGPD possui como agentes de tratamento o controlador e o operador. Apesar de suas delimitações na lei, na prática suas funções nem sempre serão estanques e nítidas. Contudo, para além dos agentes e do próprio titular envolvidos no tratamento há outras figuras importantes, dentre elas o Encarregado, o qual abordaremos brevemente aqui.
Encarregado é a pessoa, seja natural ou jurídica, a qual deve facilitar um canal de comunicação entre controlador, titulares e a ANPD, conforme art.5º,VIII. Conjugando com o art.41 que expande essa função, percebemos que possui importante papel para criação de uma cultura de proteção de dados em uma empresa, seja no treinamento de funcionários, seja na sua própria relação com a ANPD, garantindo que o agente de tratamento esteja em conformidade com a legislação de proteção de dados.
Ocorre que, diversamente de quem o contrata, os encarregados não são considerados agente de tratamento. Isso impacta no direcionamento de obrigações que a lei impõe, em certos pontos, somente a controladores, somente a operadores, ou aos agentes de tratamento diretamente. Uma das primeiras consequências dessa demarcação está na atribuição de responsabilidade civil, conforme Seção III da LGPD. Nela quem ressarce a(s) vítima(s) são o “controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais” (art.42.). Assim, sua responsabilização terá relação com o descumprimento de suas funções, sejam as que já estão previstas na LGPD, seja nas demais atribuições feitas mediante contrato junto aos agentes de tratamento.
Seu papel se assemelha muito ao do Data Protection Officer, ou DPO, presenta na União Europeia, decorrente do Regulamento Geral de Proteção de Dados. De fato, sua figura é nela inspirada, o que nos permite, guardados os devidos contornos legislativos, transpor algumas das lições que aquele ordenamento já construiu sobre essa figura.
O DPO, assim como o encarregado, possui a tarefa de ajudar o responsável e/ou o subcontratante2 que o contratou a estar em conformidade com o regulamento europeu. Para garantir o seu cumprimento a GDPR elenca algumas garantias que devem ser dadas ao DPO. Dentre elas temos: i) envolvimento/conhecimento junto às questões de dados pessoais; ii) apoio dos responsáveis e subcontratantes, levando a disponibilizar a ele(a) recurso e pessoal; iii) não receber instruções sobre como exercer suas funções quanto à proteção de dados; e iv) não ser penalizado por agir responsavelmente com suas funções.3
Como importante documento para auxiliar na compreensão dessa função temos o Working Party 243 do Grupo de Trabalho do art.29, o qual dispõe especificamente sobre o DPO da GDPR. No guia é adicionado importante ponto: a definição do tempo para exercer as atividades, pois tendo em vista que pode ser um DPO temporário ou uma figura externa à empresa e, atentando para exercer sua função com qualidade, o guia entende como boa prática apresentar planos de trabalho e estimar o tempo necessário para desempenho das atividades.4
Contudo, talvez um dos temas mais interessantes nesse guia do Grupo de Trabalho do art.29 seja sobre o conflito de interesses do DPO, o qual pode ser interessante de ser analisado no cenário brasileiro, ainda que a LGPD não tenha nenhum dispositivo que trate diretamente sobre o assunto. Aqui o GT remete ao disposto no art.38, nº6 do GDPR, o qual dispõe que “O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses”.
Trata-se necessário destacar esse debate, tendo em vista que, sendo uma atividade necessariamente estratégica para alcançar a conformidade dos agentes, qualquer empecilho deve ser endereçado para evitar maiores transtornos. Nesse ponto o guia destaca que a depender da estrutura organizacional de uma empresa as soluções podem variar, mas como importante baliza está quando o DPO escolhido já exercer atividades que envolvam determinar finalidades e os meios de tratamento, pois nesse caso estaremos diante de um responsável ou de um subcontratante.5
Para sanar esse problema é recomendado pelo guia, quando da busca por um DPO: identificar possíveis cargos que gerem incompatibilidade, aprovar normas internas de caráter preventivo e declarar que os DPOS escolhidos não possuem conflito de interesse para fins de divulgação.6
Essas práticas buscam, ao final, garantir que o DPO possa exercer sem limitações indevidas suas atividades e assim garantir maior qualidade nos resultados. Em nossa legislação não há determinação ou recomendação, tampouco análise da Autoridade Nacional de Proteção de Dados. Contudo, vale a pena continuarmos a observar os próximos passos conforme o cenário da proteção de dados no Brasil vem se amadurecendo com o passar do tempo.
Referências
____________________
1. KREPKE, André Felipe. A tarefa nem sempre fácil de delimitar operador e controlador. Magis – Portal Jurídico. 27 maio 2022. Disponível em: site. Acesso em: 23 jun. 2023.
2. Termos da GDPR que se referem respectivamente ao controlador e o operador.
3. Todas essas garantias estão previstas no art.38 da GDPR.
4. Orientações sobre o encarregado da proteção de dados (EPD). Grupo do Artigo 29 para a Proteção de Dados. 5 abril. 2017. Disponível em: site. Acesso em: 25 jun. 2023.
5. Orientações sobre o encarregado da proteção de dados (EPD). Grupo do Artigo 29 para a Proteção de Dados. 5 abril. 2017. Disponível em: site. Acesso em: 25 jun. 2023.
6. Orientações sobre o encarregado da proteção de dados (EPD). Grupo do Artigo 29 para a Proteção de Dados. 5 abril. 2017. Disponível em: site. Acesso em: 25 jun. 2023.