É notório que a Lei Geral de Proteção de Dados (13.709/2018) se aplica tanto ao setor privado, quanto ao setor público. Contudo, a LGPD não é a primeira e única legislação a tratar da proteção de dados pessoais. “Havia leis que abrangiam os temas tratados na LGPD; no entanto, a lei veio para consolidar um microssistema de tratamento desses dados: quem, como, quando, onde, porquê, com que fim podem ser usados esses dados.”, argumenta Andressa Carvalho da Silva. E o impacto no setor público é grande, uma vez que uma “enorme quantidade de dados pessoais e dados sensíveis estão sob domínio do Poder Público, como informações financeiras e fiscais (Imposto de Renda), de educação (histórico escolar), de saúde (prontuário médico), de consumo (Nota Fiscal Paulista), entre inúmeras outras” e que, por anos, a “Administração Pública coletou dados de maneira indiscriminada e sem se preocupar com a finalidade, segurança ou privacidade das informações”, como detalham em artigo publicado recentemente no jornal O Estado de São Paulo, os advogados Daniela Barbosa e Victor Oliveira. Em todo esse contexto, a LGDP define a figura do encarregado pelo Tratamento de dados Pessoais, função similar ao Data Protection Officer – DPO, definido pela legislação europeia.
Contudo, a legislação brasileira não define critérios claros de obrigatoriedade da existência do encarregado nas empresas ou instituições públicas, diferentemente da lei europeia1. A lei atribui a responsabilidade ao controlador e ao operador, mas não ao encarregado. Isso porque, em algumas hipóteses, pode não haver a figura do encarregado, como destaca Andressa Carvalho da Silva. A definição de critérios de obrigatoriedade ficaria a cargo da Agência Nacional de Proteção de dados – ANPD, conforme § 3º do artigo 412.
Responsabilidades do encarregado de dados
O § 2º do artigo 41 da LGPD define, de forma não exaustiva, as principais responsabilidades do encarregado de dados3. Contudo, Bruno (2019) relaciona as principais responsabilidades, de forma mais detalhada:
a. interagir com os titulares dos dados pessoais, inclusive prestando esclarecimentos, e adotando providências necessárias em razão desses contatos ou reclamações dos titulares;
b. interagir com a ANPD, sendo inclusive o ponto de contato para recebimento das comunicações da Autoridade, e responsável por adotar as providências requeridas;
c. orientar os colaboradores da entidade a respeito das práticas relacionadas à proteção de dados pessoais;
d. executar todas as atribuições determinadas em normas complementares, da ANPD ou outros órgãos;
e. assessorar os responsáveis pelo tratamento de dados pessoais na emissão de relatórios de impacto à proteção de dados pessoais, emitindo opiniões e pareceres que possam embasar tais relatórios;
f. monitorar a conformidade das atividades de tratamento de dados pessoais com a regulamentação e as normas vigentes;
g. cooperar com a ANPD, sempre que demandado;
h. recomendar a realização de relatórios de impacto à proteção de dados pessoais, ou não, inclusive sobre a metodologia de sua realização;
i. recomendar as salvaguardas para mitigar quaisquer riscos aos direitos dos titulares de dados pessoais tratados pela empresa, inclusive salvaguardas técnicas e medidas organizacionais;
j. decidir sobre a adequação dos relatórios de impacto à proteção de dados, e se as conclusões estão de acordo com a regulamentação, ou não.
Podemos notar que as responsabilidades de um encarregado permeiam várias áreas do conhecimento, como de legislação, privacidade e proteção de dados, tecnologia da informação, segurança da informação, metodologias de análise de risco e governança, administração e atendimento às demandas internas e externas. A designação do encarregado pelas instituições deve ser baseada nas qualidades profissionais do indicado, especialmente conhecimento sobre privacidade e proteção de dados. Quanto mais complexas forem as atividades de tratamento de dados realizadas pela instituição, maior deverá ser o nível de conhecimento técnico do encarregado.
O encarregado pode ser responsável por cumprir o princípio da responsabilização e prestação de contas, previsto no art. 6º, inciso X4, da LGPD, gerando evidências de conformidade, como relatórios de impacto à proteção de dados, geração de indicadores, registro das atividades de tratamento, atas de reunião do Comitê de Privacidade, dentre outras.
Perfil e competências de um encarregado de dados
Embora a LGPD não defina claramente a obrigatoriedade da existência de um encarregado de dados, algumas instituições da Administração Pública têm se adiantado nomeando seus encarregados, de forma voluntária. Há também normas infralegais que tratam do assunto, como a Instrução Normativa SGD/ME nº 117 do Ministério da Economia. Tal Instrução estipulou prazo e perfil para que os órgãos e entidades da administração pública federal direta, autárquica e fundacional definam seus encarregados. A Instrução define os conhecimentos técnicos necessários para exercer o papel de encarregado: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público. O prazo definido para que o encarregado seja indicado e tenha seu nome divulgado nos sites institucionais é de 30 dias contados de sua vigência.
O Tribunal de Contas da União, por sua vez, atribuiu à Ouvidoria a responsabilidade pelo papel de encarregado de dados. Tal atribuição foi feita por meio da Portaria-TCU nº 142, de 25 de setembro de 2020, com base em relatório do Grupo de Trabalho que foi constituído para avaliar o impacto da LGPD naquela corte de contas (Tribunal de Contas da União, 2020). Tal decisão reforça a definição de que o encarregado seria um canal interativo entre os atores afetados pela LGPD e que a Ouvidoria já faz tal papel em relação a outras legislações que tratam de dados, como a Lei de Acesso à Informação.
Conflito de interesse
O encarregado pode ser um colaborador da instituição ou um terceiro contratado, inclusive, uma empresa. No entanto, é importante evitar o conflito de interesses das atribuições do encarregado com outras funções que ele eventualmente exerça na instituição. Uma das atribuições do encarregado é verificar se as atividades de tratamento de dados executadas pela instituição estão de acordo com o previsto na LGPD. Assim, se o encarregado é responsável pelo tratamento de dados em sua instituição, sua atividade de monitoramento da conformidade gera um conflito de interesse, podendo fazer com que a instituição não atenda plenamente à legislação. Por exemplo, se o encarregado de dados for o mesmo colaborador responsável por definir e especificar soluções de TI para a empresa haverá conflito, pois ele deverá fiscalizar a si mesmo à luz da LGPD. Assim, o princípio da segregação de funções deve ser observado para evitar conflitos de interesses na designação do encarregado de dados, de forma que ele não acumule posições na instituição que o “leve a determinar os propósitos e meios relacionados ao tratamento de dados pessoais”.
Nesse sentido, a Instrução Normativa SGD/ME nº 117 veda expressamente que o encarregado seja lotado nas áreas de Tecnologia da Informação ou mesmo que seja gestor responsável por sistemas da instituição.
Outro ponto que merece destaque é a posição da função de encarregado de dados dentre da estrutura organizacional da empresa. Artigo publicado no livro LGPD: Lei Geral de Proteção de dados Comentada defende que o cargo deve ser desvinculado das áreas tradicionais da empresa, com reporte direto à Diretoria e Presidência, com todos os recursos necessários à execução de suas atividades. A Instrução Normativa nº 117 define que o encarregado deve ter acesso direto à Alta Administração5 da instituição.
Fato é que o encarregado de dados deve ter uma função relevante no âmbito das instituições, especialmente no árduo caminho de adequação à LGPD. Justamente por isso, ele deve ter autonomia, independência, bom nível de conhecimento das matérias envolvidas no tema e acesso direto à cúpula da instituição.
Há diversas ações que podem (e devem) ser tomadas pela Administração Pública para, desde logo, caminhar para a conformidade com a LGPD. A indicação de um encarregado, mesmo antes da definição de critérios de obrigatoriedade pela ANPD, é uma dessas ações. Importante é que o encarregado tenha autonomia, acesso à alta administração, independência e todos os recursos necessários para executar suas funções de forma plena. Além disso, conforme § 1º do artigo 41 da LGPD, a identidade e informações de contato do encarregado devem ser publicadas no sítio eletrônico do controlador, para que ele possa ser facilmente encontrado, tanto pela ANPD, quanto pelos titulares dos dados e demais interessados.
A LGPD veio para ficar e todos, sociedade e governo, serão beneficiados em relação à privacidade e proteção dos dados pessoais.