Ainda em fase de vacatio legis, a lei 13.709/18, Lei Geral de Proteção de Dados (LGPD), passará a ter eficácia plena em todo o território nacional em meados de 2020 e até esta data governo, empresas e sociedade deverão realizar as devidas adaptações, como a nomeação de um encarregado, a realização de auditoria de dados, elaboração de mapa de dados, revisão das políticas de segurança, revisão de contratos e elaboração de Relatório de Impacto de Privacidade.
Neste artigo, tratamos resumidamente de um novo profissional, que deve ser um dos mais demandados após a entrada em vigor da LGPD, o encarregado de proteção de dados (EPD).
Quem é o encarregado de quem trata a LGPD?
Várias foram as mudanças de paradigmas trazidas pela LGPD, justamente porque não tínhamos no ordenamento jurídico brasileiro uma lei abrangente na tutela de dados pessoais. Uma das inovações é justamente a criação da figura do encarregado de proteção de dados.
Na Europa a figura do encarregado, o data protection officer ou DPO, é tida como peça fundamental para o regulamento de proteção de dados, por isso é razoável que a importância do novo cargo também seja observada no Brasil. Afinal, o regulamento europeu é fonte da regra brasileira e, ao contrário da Europa, que já havia editado regras sobre proteção de dados pelo menos desde 1995, havia uma lacuna em nossa legislação sobre o tema.
O texto original da LGPD previa que o encarregado seria “pessoa natural”. A palavra “natural”, todavia, foi suprimida pela Medida Provisória nº 869 e depois pela Lei nº 13.853 de 2019, que alterou inúmeros pontos da LGPD. Com isso, empresas e pessoas físicas hoje podem atuar como EPD.
Segundo a Lei 13.709/18, considera-se encarregado a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
As tarefas do EPD incluem a interface com o público em geral, sendo ele a personificação do agente de tratamento de dados e o responsável por verificar se os procedimentos internos da empresa e os funcionários estão em conformidade com as regras e princípios da LGPD. A ele cabe também interagir com a fiscalização, que será exercida pela Autoridade Nacional de Proteção de Dados e pelo Ministério Público.
No contexto da lei brasileira de proteção de dados, o controlador detém o poder de decisão e o operador faz o tratamento de dados, sendo ambos agentes de tratamento. O encarregado, os titulares dos dados e a ANPD são os outros atores.
Hoje, a LGPD é clara ao enunciar que a regra é pela indicação de encarregado em todos os casos em que houver operação de tratamento de dados, seja por pessoa física com fins econômicos ou por pessoa jurídica de direito público ou privado, mas futuramente a ANPD poderá estabelecer normas complementares sobre a definição e delimitação das atribuições do encarregado, inclusive criando hipóteses de dispensa de necessidade de indicação pelo controlador. Neste caso em específico a decisão será tomada tendo em vista a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
A Lei nº 13.853 de 2019, que alterou inúmeros pontos da lei original, também suprimiu o texto que tratava o encarregado como detentor de conhecimento jurídico-regulatório. Entendeu-se à época, via veto presidencial, que:
“A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.”
Atualmente, portanto, pessoas naturais e empresas podem exercer a função de encarregado e não há exigências de conhecimento técnico-jurídico para tanto, o que reduz custos para os controladores, mas provavelmente enfraquece as garantias para o exercício de suas atribuições.
Entendemos que, não obstante a lei, o EPD precisará ter conhecimento multidisciplinar nas áreas de tecnologia, gestão da informação e, obviamente, jurídica, tendo pleno domínio da LGPD e também da GDPR, sua precursora europeia. Desejável também é o apoio de uma comissão de especialistas com conhecimento nestas áreas.
Quais são as funções/atividades do encarregado?
O encarregado recebe do controlador todas as informações que identifiquem uma eventual atividade de tratamento de dados para que, ciente do ciclo dos dados pessoais, possa instruir o controlador para que as atividades de tratamento estejam em conformidade aos princípios, direitos e demais normas da LGPD. Na prática, atua como gestor com relativa autonomia para zelar pela conformidade de dados das empresas.
Em suma, as atividades do encarregado, previstas no art. 41, § 2º, da LGPD, consistem em:
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências. Essa atividade específica suscita um processo de atendimento ao cliente, adaptado para respeitar as normas da LGPD. O entendimento é que o caminho seja o mesmo dos call centers atuais: abertura de protocolo de atendimento, prazo mínimo e máximo de atendimento, planos de contingência e scripts de atendimento. Espera-se que as pessoas que tratam os dados possuam vários canais de comunicação: telefone, aplicativos, sites, redes sociais etc. Vale dizer que o conjunto deste trabalho deverá sempre ser levado ao conhecimento do controlador, principalmente dos riscos envolvidos em casa de descumprimento das regras previstas na LGPD.
Receber as informações e comunicados da ANPD e adotar providências necessárias. O setor financeiro já vive essa realidade, pois inúmeros comandos são expedidos por órgãos públicos e autorregulatórios, como o Banco Central, o Ministério da Fazenda, Conselho de Valores Mobiliários, por exemplo. A ANPD, igualmente, vai determinar o andamento das atividades, informando apenas ou exigindo uma ação em um prazo específico. A regulação da ANPD pode incluir criação de cargos, de procedimentos ou mesmo novas regras para o setor.
Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. No capítulo VII, seção II, a LGPD trata das boas práticas e da Governança. Os artigos da lei preveem o que os controladores e operadores deverão e poderão fazer neste sentido. Mas os processos e práticas serão difundidos na organização pelo Encarregado.
Deve cumprir as demais atribuições do cargo, dadas pelo Controlador ou por normas complementares.
Expostas essas competências, é importante enfatizar que o Encarregado não possui ingerência sobre as atividades do controlador. Sua atuação está adstrita a orientar os trabalhos, cabendo a gestão exclusivamente ao controlador.
O Site Jota (registro necessário), após o cotejamento do Regulamento Europeu e a LGPD, apresentou algumas conclusões preliminares sobre a atuação do encarregado, dentre elas duas questões que merecem ser elencadas:
Ao encarregado devem ser conferidas garantias efetivas de independência no desempenho de suas funções, não se admitindo que seja penalizado em razão do desempenho destas. Existindo essa garantia, admite-se inclusive que este seja parte integrante da organização ou ator externo, prestador de serviços.
Não se pode admitir a irresponsabilidade total do encarregado, devendo, porém, somente ser responsabilizado em casos excepcionais, onde haja comprovado dolo no sentido de induzir o controlador a adotar atitude manifestamente contrária aos mandamentos da LGPD.
Estas questões apontam para uma necessária e recém iniciada discussão brasileira sobre a natureza da atividade do encarregado e sua relação jurídica com os agentes de tratamento de dados. Afinal, sua independência necessária não pode ser tratada como isenção pura de responsabilidade. Talvez seu status acabe sendo considerado similar ao de um auditor independente, que atua na revisão de balanços de empresas, ou mesmo, em algumas situações, equivalente à do ombudsman mais vinculado a empresa, mas dotado de certa independência.
De fato, a lei cria uma nova profissão, já que, por regra, todas as pessoas jurídicas e algumas pessoas físicas necessitarão deste profissional. Algumas empresas precisarão contratar um profissional externo – com conhecimentos abrangentes tanto em TI quanto em Direito, de preferência - e empresas menores ou profissionais liberais com menor quantidade de tratamento de informações, poderão nomear para a função e nova atribuição um membro de sua própria equipe, cuidando, obviamente, que não haja acúmulo de funções. E isso, certamente, criará uma razoável demanda por este tipo de profissional, moderno e de formação híbrida.
Não há estimativas de quantos novos postos de trabalho serão gerados no Brasil. Mas calcula-se que serão milhares. Um estudo feito pela International Association of Privacy Professionals (Associação Internacional de Profissionais de Privacidade) prevê que 75 mil novos postos de trabalho sejam criados no mundo com a implantação de regras como a General Data Protection Regulation europeia e a LGPD. Só na Europa são 28 mil DPOs.
No caso das empresas brasileiras, de acordo com um levantamento da Serasa Experian, apenas 15% estão se preparando para se adequar à nova legislação. Só mesmo grandes empresas, bancos e companhias dos setores farmacêutico e hospitalar parecem estar mais preocupadas. Mas todos vão ter que se adequar, sob pena de multa pesadíssima. Conhecer Tecnologia da Informação e com profundidade as normas jurídicas que envolvem a questão é imprescindível.
Enfim, novas tecnologias são sempre um desafio para as empresas, não existindo uma visão de que todas estarão adequadas até agosto de 2020, quando a lei entra em vigor. Em verdade, parece-nos que será um processo contínuo e que futuros encarregados de proteção de dados devem iniciar o quanto antes sua preparação.