A obrigatoriedade do encarregado pelo tratamento de dados pessoais no Brasil

A obrigatoriedade do encarregado pelo tratamento de dados pessoais no Brasil

Luisa Brasil Magnani*

05 de novembro de 2019 | 06h39

Luisa Brasil Magnani. Foto: Divulgação / Assessoria de Imprensa

A Lei Geral de Proteção de Dados (Lei 13.709/19) instituiu um novo cargo a ser exercido em empresas e entidades que realizam tratamento de dados pessoais: o encarregado pelo tratamento de dados pessoais. Conhecido na Europa como DPO – Data Protection Officer, a figura do encarregado funcionará como uma ponte entre os titulares dos dados, o agente de tratamento de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

De um modo geral, o encarregado funcionará como uma espécie de ouvidor e agente interno de compliance, cujas atribuições legais estão previstas no artigo 41 da Lei 13.709/191. O artigo em questão define três eixos de atuação do encarregado: o relacionamento entre o agente de tratamento e o titular dos dados, o relacionamento com a Autoridade Nacional de Proteção de Dados e o gerenciamento das ações internas que devem ser adotadas para que as organizações se mantenham em conformidade com a lei.

Além de definições sobre as atividades a serem exercidas pelo encarregado, a Autoridade também deverá dispor sobre as hipóteses de obrigatoriedade e dispensa deste profissional, conforme três critérios elencados na lei: o porte da entidade, a natureza de suas atividades e o volume de operações de tratamento.

A necessidade de regulamentação deste ponto tem sido motivo de apreensão desde que a LGPD foi sancionada, pois a obrigatoriedade do encarregado gera custos adicionais ao funcionamento das empresas, onerando principalmente pequenos e médios negócios. Ademais, a busca de profissionais habilitados a ocupar o cargo ainda é um desafio no Brasil, tanto pela ausência de profissionais qualificados, quanto pelo ineditismo desta posição na maioria das organizações e a insegurança em relação ao tipo de profissional que deverá exercer a função.

A regulamentação deve ter, como premissa, um delicado equilíbrio entre a garantia do máximo de proteção ao titular causando o mínimo de entrave ao desenvolvimento econômico.

Um dos exemplos de quão sensível é esta equação ocorre na Alemanha, onde se discute a revogação de um dispositivo da lei nacional de proteção de dados que determina a obrigatoriedade de designação de um DPO por empresas que empregam mais de dez empregados que lidam com o processamento automatizado de dados pessoais. A discussão sobre a onerosidade excessiva às empresas levou à discussão sobre a revogação da obrigatoriedade.

A experiência europeia, que influenciou de sobremaneira a legislação brasileira, nos dá algumas premissas que poderão ser aplicadas no caso brasileiro. O Regulamento europeu sobre proteção de dados (RGDP) determina a obrigatoriedade de contratação de encarregado em três hipóteses:

a) Quando o tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b) Quando as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controle regular e sistemático dos titulares dos dados em grande escala; ou

c) Quando as atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o.

Portanto, de acordo com as normas europeias, as hipóteses de obrigatoriedade de indicação do encarregado variam de acordo com a natureza da personalidade jurídica do agente (se é de direito público ou privado), a natureza da atividade exercida (e se o tratamento de dados é parte nuclear dela) e com o volume e o tipo de dados tratados.

Embora seja mais detalhada que a LGPD, a GDPR não é suficientemente clara ao delimitar as hipóteses de obrigatoriedade do encarregado. Ao ler as hipóteses elencadas na lei, diversos questionamentos emergem: qual é a abrangência do conceito de órgãos públicos? Qual é o parâmetro de “grande escala” aplicável na lei? Como determinar se o tratamento de dados é ou não uma das atividades nucleares da empresa? A prática demonstra que estas não são questões simples de serem respondidas na prática.

O Working Party 29, órgão consultivo europeu que atua na área de proteção de dados, possui orientações que facilitam o entendimento sobre os critérios legais adotados pela legislação europeia.
Segundo a entidade, o conceito de “atividades principais” deve ser interpretado de modo ampliado. Na prática, o controlador deve avaliar se a coleta e o tratamento de dados é parte essencial para o exercício de sua atividade-fim. Por exemplo: um hospital não consegue cumprir a função de atender pacientes sem o processamento de seus dados de saúde. Desta forma, a melhor interpretação da lei é considerar que o tratamento integra o negócio central da entidade, sendo obrigatória a designação de um encarregado.

Ainda no entendimento do WP 29, o requisito de “regularidade” ocorre quando há monitoramento contínuo ou em intervalos específicos em determinado período, ou tratamento repetido em horários estipulados, constantes ou periódicos.

Com a instituição da Autoridade Nacional de Proteção de Dados do Brasil, espera-se que o órgão regulador traga clareza a empresas e entidades sobre a obrigatoriedade de designação de um encarregado de proteção de dados, contribuindo para um cenário de maior desenvolvimento econômico e segurança jurídica, alinhado com as melhores práticas para o tratamento de dados pessoais.

Neste meio tempo, é essencial que as empresas não se esqueçam que estarão sujeitas aos dispositivos da LGPD, sendo salutar a designação de um encarregado de proteção de dados, com ou sem determinação legal que o obrigue à adoção desta providência.

*Advogada do Opice Blum, Bruno, Abrusio, Vainzof Advogados Associados, pós-graduanda em Direito e Tecnologia da Informação pela Universidade de São Paulo

publicidade

publicidade

Comentários

Os comentários são exclusivos para assinantes do Estadão.