Apesar de se falar muito sobre o Encarregado de Proteção de Dados (Data Protection Officer ou DPO), ainda não há uma sedimentação sobre suas funções e limites de sua atuação. Essa situação somente será sanada com regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD) sobre as funções do encarregado, prevista para o primeiro semestre de 2022[1].
Recentemente, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que trata da aplicação da LGPD para agentes de pequeno porte, estabeleceu algumas disposições sobre a figura do encarregado. De acordo com a Resolução, algumas organizações de pequeno porte estão livres da obrigação de indicar um DPO, por vezes, onerosa para pequenos negócios[2].
Porém, há diversas atividades e contextos em que o envolvimento do DPO é recomendável e essencial. A própria Resolução refere que a indicação do DPO para agentes de pequeno porte será considerada política de boas práticas e governança. Por isso, retomar a importância da existência do DPO pode auxiliar os agentes de pequeno porte na interpretação das recentes disposições da Resolução sobre o encarregado.
Para o bom funcionamento do programa de governança em privacidade, é essencial que o encarregado tenha independência para emitir seus juízos e recomendações, de acordo com as situações que lhe são apresentadas. A independência torna viável o posicionamento do encarregado em uma perspectiva de autonomia, sem o viés de ter que apoiar práticas que oferecem muitos riscos devido a um posicionamento mercadológico da organização[3].
Isso possibilita efetivar a sua atribuição de conciliar os interesses do negócio à proteção da privacidade e aos direitos dos titulares de dados pessoais, minorando riscos relativos à segurança da informação e reputacionais. Assim, a ação independente do DPO é essencial para estruturação da governança e boas práticas em proteção de dados, e na expansão da cultura de privacidade aos colaboradores da empresa.
No mais, o encarregado possui atuação preventiva. Ao agir de modo contínuo e de forma qualitativa, o DPO deverá voltar suas análises à maneira como são tratados os dados pessoais, contribuindo para que lacunas nos processos sejam sanados e incidentes de segurança e violações a dados pessoais sejam evitados[4].
Já a atuação proativa do DPO contempla, igualmente, a assessoria para revisões contratuais, melhorias de processos de empresas e negócios e, ainda, o direcionamento de soluções para continuidade da adequação à LGPD, a partir do dinamismo das operações com tratamento de dados pessoais.
Por exemplo, é comum que uma empresa, que ainda não passou por um projeto de adequação à LGPD, não possua políticas ou termos relacionados ao tratamento de dados pessoais. Nesse sentido, é parte das atribuições do DPO, nas perspectivas acima referidas, sinalizar sobre a necessidade da criação ou melhoria desses documentos, adequando aqueles já existentes à conformidade.
Isso trará maior segurança e condições de negócio não apenas para fornecedores e parceiros, mas para a credibilidade para a empresa perante a sociedade e clientes.
Além disso, a Guideline on Data Protection Officers (“DPOs”) possibilita identificar essas atuações multifatoriais, a medida em que estabelece primordialmente garantir que o DPO seja informado e consultado desde o início do tratamento de dados pessoais, garantindo evidência da implementação do privacy by design.
Ainda, há a indicação de que o DPO deve ser visto como um elemento-chave das tomadas de decisão, integrando discussões e grupos relevantes que atuam com tratamento de dados pessoais na organização[5].
Considerando o contexto dos agentes de tratamento de pequeno porte, uma das mudanças estabelecidas pela Resolução CD/ANPD nº 2 é a dispensa da obrigatoriedade de indicação de um DPO, com exceção das hipóteses previstas no art. 3º da normativa[6].
Em complementação, o art. 11 determina dois aspectos que merecem atenção. O primeiro deles é que, quando o agente de tratamento não realizar a indicação do encarregado, será necessário disponibilizar um canal de comunicação com o titular de dados (parágrafo 1º do art. 11).
Essa previsão se destina a atender à exigência prevista no art. 41, parágrafo 2º, inciso I da LGPD, ou seja, a atribuição do encarregado de aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e providências. Sendo assim, as empresas de pequeno porte deverão disponibilizar um e-mail ou algum tipo de canal para possibilitar o recebimento de informações e o exercício de seus direitos.
O segundo é a determinação de que, apesar da dispensa de obrigatoriedade, a indicação do encarregado será considerada política de boas práticas e governança para a finalidade da disposição do art. 52, parágrafo 1º, inciso IX da LGPD (parágrafo 2º do art. 11).
De acordo com o dispositivo da LGPD, as sanções administrativas serão aplicáveis pela ANPD considerando a situação em questão, sendo a adoção de política de boas práticas e governança um dos parâmetros de análise para a aferir a atribuição da responsabilização.
Outro aspecto que, de algum modo, se conecta com a previsão do art. 11 é a disposição do art. 16, que indica a possibilidade de que a ANPD determine o cumprimento de obrigações que dispensou ou flexibilizou na Resolução, caso a situação envolva aspectos que motivem a retomada das medidas, tais como natureza ou o volume das operações e riscos para os titulares.
Isso significa que há uma consideração, pela ANPD, de que os agentes de tratamento de pequeno porte estarão inseridos em contextos distintos. Ainda que a estrutura negocial inicialmente oportunize relativizações previstas na LGPD, é possível que outros aspectos justifiquem um retorno ao cumprimento, o que também pode se aplicar para as hipóteses do encarregado.
Da análise da normativa, é possível compreender que apesar da dispensa da obrigatoriedade, a importância da existência do DPO e suas atribuições não foi desconsiderada pela ANPD na Resolução.
Pelo contrário, ao considerar a opção de possuir um DPO uma de boa prática de governança, a ANPD conecta a existência da figura aos critérios interpretativos de análise para determinação de eventuais sanções administrativas, o que pode ser crucial no plano de mitigação de riscos das empresas de pequeno de porte, a depender da realidade das operações com tratamento de dados pessoais.
Assim, o DPO não deve ser compreendido como um elemento acessório, mas parte de uma organização empresarial comprometida com a privacidade e proteção de dados, aliado à estrutura de um comitê de privacidade.
Contar com a figura do encarregado entre os agentes de tratamento de pequeno porte é um aspecto a ser considerado, uma vez que, a depender do caso, a indicação se tornará uma medida proativa e estratégica de precaução e prevenção na estrutura de conformidade à privacidade e proteção de dados.
—
Sobre os autores
Caio Matias Borba é especialista em proteção de dados e compliance, DPO certificado pela ITCERTS e Certified Expert in Compliance (CEC) – Instituto ARC e advogado da Lee, Brock, Camargo Advogados.
Mateus Reis dos Santos Alves é Pós-graduando em Direito Digital UERJ/ITS e advogado da Lee, Brock, Camargo Advogados.
Bruna Marques da Silva é Mestre em Direito pelo Programa de Pós-graduação em Direito da Unisinos. Pós-graduanda em Direito Digital e Proteção de Dados e advogada da Lee, Brock, Camargo Advogados.
[1] BRASIL. Autoridade Nacional de Proteção de Dados. Órgão: Presidência da República. Portaria nº 11 de 27 de janeiro de 2021. Torna pública a agenda regulatória para o biênio 2021-2022. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313. Acesso em: 09 fev. 2022.
[2] BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2 de 2 de janeiro de 2022. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em: 09 fev. 2022.
[3] CENTRE FOR INFORMATION POLICY LEADERSHIP (CIPL). CENTRO DE DIREITO, INTERNET E SOCIEDADE (CEDIS-IDP). O Papel do/a Encarregado/a conforme a Lei Geral de Proteção de Dados Pessoais (LGPD). 2021. Disponível em: – https://www.informationpolicycentre.com/uploads/5/7/1/0/57104281/[pt]_cipl-idp_paper_dpo_under_the_lgpd__27_sept_2021_.pdf. Acesso em: 09 fev. 2022.
[4] INFORMATION COMISSIONER’S OFFICE (ICO). Guide to the General Data Protection Regulation (GDPR). Data Protection Officers. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officers/#ib7. Acesso em: 09 fev. 2022.
[5] ARTICLE 29 WORKING PARTY. European Comission. Guidelines on Data Protection Officers (‘DPOs’). 2016. Disponível em: https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf. Acesso em: 09 fev. 2022.
[6] BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 2, de 2 de janeiro de 2022. . Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019. Acesso em: 09 fev. 2022.
