A Lei Geral de Privacidade e Proteção de Dados, no que tange ao encarregado de dados (DPO), dispõe de escassas formas de atuação desse profissional e deixa em aberto a possibilidade de exercer outras atribuições. Nesse sentido, este informativo tem o fito de responder algumas perguntas comumente feitas sobre a atuação do DPO.

Quem é a figura do Encarregado pelo Tratamento de Dados ou DPO?

A LGPD não estabelece critérios objetivos e a tarefa que ficou a cargo da ANPD, e no cenário atual são poucas as informações da ANPD. Sendo assim, a LGPD e a ANPD (Autoridade Nacional de Proteção de Dados) não definem requisitos em relação à formação e /ou qualificação do encarregado, razão pela qual é correto afirmar, neste momento, que qualquer profissional pode assumir.

Conforme artigo 41 da Lei, as funções do Encarregado de dados (DPO) são de receber as reclamações e comunicações dos titulares dos dados pessoais e da Autoridade Nacional de Proteção de Dados (ANPD), prestar esclarecimentos e tomar providências, orientar a empresa internamente sobre as práticas para proteção de dados pessoais, outras atribuições a serem determinadas pelo controlador e ainda cumprir outras funções que venham a ser determinadas por normas complementares.

A Lei Geral de Proteção de Dados traz atribuições taxativas ao DPO?

A LGPD estabelece, no art. 41, § 2º, um rol não taxativo de atribuições pertinentes ao encarregado de dados. Sabe-se, que um rol taxativo aduz a concepção de que a legislação estabelece uma lista terminativa, que tem fim em si mesma. Todavia, como se vê na última hipótese de atuação supracitada, o legislador deixou em aberto uma gama de possibilidades de atuações do DPO, concedendo ao controlador discricionariedade para atribuir funções que considere necessárias ao cargo.

Não obstante, a abertura acima exposta não pode ser analisada erroneamente. O encarregado pode, sim, executar atividades como a elaboração de relatórios de impacto à proteção de dados pessoais, monitoramento da conformidade das atividades de tratamento de dados pessoais, dentre outras. No entanto, essas atribuições não estão expressamente previstas em dispositivos legais e não podem ser consideradas como funções obrigatórias inerentes ao DPO, mas, apenas, como incumbências atribuídas pelo controlador ou assumidas pelo próprio encarregado no exercício do cargo.

Ressalta-se, ainda, que a Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) publicou, em 4 de abril de 2022, Proposta Técnica para a Regulamentação do Encarregado (DPO) na LGPD, com fito, justamente, de ampliar o escopo de atuação desses profissionais, após chamada pública da ANPD.

O DPO é o responsável por cuidar do Programa de Privacidade e conduzi-lo?

O Programa de Privacidade consiste no conjunto de ações de adequação promovidas pelas organizações, visando assegurar a privacidade dos titulares e a proteção dos seus dados, mediante o amoldamento da empresa aos ditames da Lei Geral de Proteção de Dados.

O DPO não necessariamente é o responsável por cuidar do Programa de Privacidade. A legislação pátria prevê as formas de atuação obrigatórias do DPO, as quais não incluem a responsabilidade de cuidar desse programa. Entretanto, não há óbice para que o DPO o conduza.

No entanto, é fundamental que o desenvolvimento do programa de adequação seja assessorado por equipe jurídica especializada, tendo em vista que é de suma importância deter conhecimento legal, de forma a conduzir a organização ao que impõe a legislação.

Caso o DPO tenha conhecimento jurídico e capacidades técnicas necessárias para desenvolver um programa de adequação a LGPD, é possível que ele o faça. Entretanto, reforça-se que essa atribuição não faz parte das suas responsabilidades legalmente determinadas.

Por sua vez, a Classificação Brasileira de Ocupações (CBO) que retrata a realidade das profissões do mercado de trabalho brasileiro, traz como descrição da atividade do encarregado:

Planejam processos administrativos, financeiros, de compliance, de riscos e de proteção de dados pessoais e privacidade e de facilities management. Gerenciam equipes, prestação de serviços terceirizados, rotinas administrativas e financeiras. Administram riscos, recursos materiais e canal de denúncia. Participam da implementação do programa de compliance e/ou de governança em privacidade. Planejam e implementam atividades de manutenção e conservação do ambiente construído. Monitoram e avaliam o cumprimento das políticas do programa, normativas, código de ética, procedimentos internos e parceiros de negócios. Participam da identificação de situações de riscos e propõem ações para mitigação dos mesmos. Prestam atendimento ao cliente e/ou cooperado e/ou titular de dados pessoais. (CBO. Disponível em: http://www.mtecbo.gov.br/cbosite/pages/pesquisas/ResultadoOcupacaoMovimentacao.jsf )

É requisito que o DPO saiba da ISO 27000?

Inicialmente, vale dizer que a ISO (International Organization for Standardization) é uma organização que tem como objetivo padronizar, mediante normas técnicas e requisitos, diversas gestões ao redor do mundo.

Pela sua natureza metódica e qualitativa, a certificação da ISO tornou-se parâmetro de qualidade para diversas empresas. Assim, a ISO 27000, certificará empresas em matérias de segurança da informação e proteção de dados.

Considerando o artigo 41 da LGPD, é perceptível que a lei não define nenhum requisito ao DPO de ter qualquer conhecimento técnico sobre a ISO 27000.

O conhecimento técnico, portanto, se tornará um diferencial que um DPO tem para as responsabilidades legais atribuídas a essa figura.

Qual a responsabilidade do DPO?

Não há que se falar de responsabilidade objetiva ao DPO, no caso de risco e/ou dano aos dados dos titulares, o DPO será a ponte de comunicação entre a ANPD e o Controlador e realizará o atendimento e comunicações aos titulares, prestando esclarecimentos e adotando providências.

A Resolução Nº4 da ANPD (Autoridade Nacional de Proteção de Dados), traz em seu Artigo 2º, inciso IV, a definição de quem é o infrator:

“Art. 2º Para fins deste Regulamento adotam-se as seguintes definições:

[…]

IV – infrator: agente de tratamento que comete infração; […]” 

Ou seja, o destinatário de tais responsabilidades é o próprio agente de tratamento que comete infração. Nesse sentido, não parece haver argumentos jurídicos suficientes para que o encarregado responda pela não conformidade da organização.

Segundo as diretrizes do European Data Protection Board, órgão responsável por interpretar a GDPR, o DPO não é responsável pessoalmente pela não conformidade com requisitos de proteção de dados.

Portanto, o DPO (Encarregado) somente será responsável da mesma forma que qualquer outro profissional em relação à sua atuação, de modo que caso se comprove negligência, imprudência, imperícia ou dolo do encarregado, a organização poderá ter direito de regresso.

Considera-se boa prática a nomeação de DPO pelas organizações?

A nomeação do DPO não se trata somente de uma boa prática, mas também constitui obrigação do controlador – excetuados os agentes de tratamento de pequeno porte, os quais não possuem obrigatoriedade quanto a designação do encarregado.

Os agentes de tratamento de pequeno porte, segundo o art. 2º, I, da Resolução CD/ANPD nº2/2022, são “microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.”

Portanto, caso a organização não se enquadre como agente de pequeno porte, ela “…deverá indicar encarregado pelo tratamento de dados pessoais.” É o que determina o caput do art. 41, da Lei Geral de Proteção de Dados. Sendo assim, os controladores devem designar encarregados de dados e determinar internamente as atribuições que ultrapassem o escopo previsto em lei.

Quanto aos agentes de pequeno porte, apesar da desobrigação de nomeação de encarregado de dados, a indicação de alguém para o figurar nesse cargo é tida como uma política de boa prática e governança, com fulcro no art. 11, § 2º, da Resolução CD/ANPD nº2/2022.

Logo, se para os agentes de pequeno porte a nomeação de DPO é considerada uma boa prática, a mesma recíproca vale para outros agentes de tratamento, havendo diferença apenas no que diz respeito à obrigação dessa indicação.

Ademais, com a publicação da Resolução CD/ANPD, nº4/2023, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, as boas práticas são fatores atenuantes de eventuais penalidades impostas pela ANPD. Logo, é recomendável que as organizações se atentem ao cumprimento do maior número de boas práticas possíveis, já considerando as implicações financeiras que porventura ocorram.

Existe risco na não nomeação do DPO?

Nem todas as empresas necessitam nomear um DPO, como prevê a resolução Nº2 da ANPD. Existem alguns critérios que excluem os agentes de pequeno porte da nomeação de um Encarregado. Porém, ainda sim terão que se atentar com medidas administrativas, como a disponibilização de um canal de comunicação para o atendimento previsto em lei (Art. 41, § 2º, I, LGPD).

Em contrapartida, os demais agentes de tratamento ficarão obrigados a nomear um DPO, conforme estabelece o Artigo 41 da LGPD, em seu caput.

Percebe-se que somente o descumprimento da nomeação do DPO já é considerado um risco por natureza, levando em consideração a postura impositiva do texto que a lei traz. Ainda, como o DPO será o responsável pela comunicação com a ANPD e com os Titulares de dados; pela tomada de providências em caso de necessidade; e pela orientação dos funcionários a respeito das práticas a serem tomadas, cria-se um ambiente organizacional voltado para o compliance digital e boas práticas a serem elaborados por um DPO.

A ANPD define na Resolução Nº4 diversas circunstâncias agravantes e atenuantes que poderão ocorrer nas sanções, que podem ser multas diárias; publicização da infração; bloqueio e/ou eliminação dos dados; e multa simples de até 2% do faturamento anual da empresa, limitadas até 50 milhões de reais.

Ou seja, ao DPO é atribuída extrema relevância na promoção e manutenção de boas práticas; nas condutas organizacionais que estejam de acordo com os parâmetros estabelecidos pela ANPD; estabelecendo um aprimoramento da agilidade nas providências a serem tomadas; entre outras medidas que acabam por minimizar ou sanar os riscos de uma organização. Por consequência, as atuações do DPO com o que foi estabelecido em lei servirá como atenuante das multas, e de demais sanções que serão aplicadas, quando o agente de tratamento de dados comete uma infração às normas previstas pela LGPD.

Considerando as funções do encarregado (artigo 41 da LGPD), o prudente parece ser buscar o profissional que entenda da Lei e que esteja apto a defender a instituição, com capacidade de emitir opiniões especializadas em relação ao assunto.

A possibilidade de terceirização da função de encarregado de dados, admitida pela LGPD, fez surgir o mercado de serviços de encarregado a serem prestados por escritórios de advocacia e empresas de consultoria, contudo há prós e contras do modelo de contratação externo de DPO as a Service. Destacamos como fatores positivos o alívio da carga de trabalho de profissionais internos e por dispor de maior grau de independência, autonomia e ausência de conflito de interesse. Por outro lado, um profissional interno pode conhecer melhor o dia a dia da empresa e estar mais disponível. Cada organização deve verificar o melhor formato que atenda a sua situação.

A equipe do Goulart Colepicolo Advogados tem advogados especializados em ‘Direito Digital, Tecnologia e Proteção de Dados’ e está à disposição para esclarecer eventuais dúvidas.

Nota com caráter informativo.