O que é possível extrair da minuta do Regulamento sobre o encarregado.
A Autoridade Nacional de Proteção de Dados (ANPD) encerra, no mês de dezembro de 2023, a consulta pública para a coleta de contribuições acerca da elaboração do Regulamento que trata sobre o encarregado (ou DPO – data protection officer). Com tímida descrição sobre suas atribuições na LGPD, restou clara a dificuldade de assimilação sobre as atribuições, responsabilidades, possibilidades e impossibilidades desta figura fundamental a qualquer agente de tratamento pela sociedade.
Da leitura da minuta do Regulamento, é possível destacar o cuidado da Autoridade em abordar temas que vinham sendo pautas de controvérsias dentro de um mercado concorrido. A seguir, trazemos alguns dos seus principais insights.
O DPO deve ser interno ou externo à empresa?
O encarregado pode ser interno ou externo ao quadro organizacional da empresa (artigo 9º). Ou seja, pode ser um colaborador já presente no organograma da empresa ou, ainda, pessoa terceirizada, contratada com esta finalidade. O artigo 2º, inciso II, da minuta vem na mesma linha do item 71 do Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, elaborado pela ANPD em 2021, quando dispõe que o DPO pode ser pessoa física ou jurídica.
Assim, definido quem exercerá este cargo, o Regulamento (na mesma linha das orientações do referido guia) dispõe que a sua indicação deve ser realizada por ato formal, que, nos casos de ser externo à empresa, se configurará por meio de contrato de prestação de serviços. Assim, considerando que a identidade do encarregado deve ser mantida atualizada e divulgada no site do agente (artigo 6º), em se tratando de pessoa jurídica, recomenda-se que o nome empresarial ou título do estabelecimento conste no aviso de privacidade.
Por fim, apesar de poder contar com a atuação de pessoa jurídica, vale a ressalva de que as atividades do DPO de comunicação com a ANPD não podem ser realizadas por meio de processos automatizados (artigo 14), como no caso de respostas automáticas.
O DPO deve estar inscrito em alguma entidade ou possuir alguma certificação?
Não! Após algumas conclusões equivocadas por parte da sociedade de que o encarregado deveria contar com certificações ou estar inscrito em entidades específicas (inclusive com abertura de licitações que exigissem erroneamente tais qualificações), a ANPD, seguindo a linha dos esclarecimentos prestados no primeiro semestre de 2023, é enfática no artigo 12 dispondo que “o exercício da atividade de encarregado não pressupõe a inscrição em qualquer entidade nem a detenção de qualquer certificação ou formação profissional específica”.
O encarregado poderá acumular funções?
Sim, segundo o artigo 13, o DPO poderá ter mais de uma função. Nesse sentido, quando interno, poderá, por exemplo, ser responsável por outro cargo dentro da empresa, enquanto o externo poderá exercer a atividade por mais de um agente de tratamento. Contudo, em ambos os casos deve ser possível o pleno atendimento das atribuições desta figura, devendo assegurar a inexistência de eventual conflito de interesses.
O que pode ser considerado conflito de interesses?
O artigo 2º, inciso I, expõe que o conflito de interesses é uma “situação gerada pelo confronto de interesses do agente de tratamento com os do encarregado no exercício de sua função, que possa influenciar, de maneira imprópria, o desempenho das atribuições do encarregado”. Em adição, o artigo 20 dispõe que “presume-se conflito de interesses o acúmulo da função de encarregado com aquela em que haja competência para decisões referentes ao tratamento de dados pessoais, em nome do agente de tratamento”. Nessa linha, é de responsabilidade de ambas as partes, DPO e agente de tratamento, dentro das suas atribuições, assegurar a inexistência de eventual conflito.
Apesar da descrição genérica, o tema ganha destaque por possuir uma seção própria (Seção III) dentro do Capítulo do Encarregado (Capítulo III), demonstrando certa importância do tema para a ANPD. Nesse sentido, a análise provavelmente será casuística, possivelmente apoiada em recomendações e situações ocorridas em ambiente estrangeiro, tropicalizadas ao cenário brasileiro. Assim, recomendações do extinto Grupo de Trabalho do Artigo 29 do EDPB e julgamentos e fiscalizações ao redor do mundo, como no caso da autoridade belga que implementou uma multa de 75 milhões de Euros por indicação de DPO com conflito de interesses, podem ser importantes delimitadores.
Esta é a versão final do Regulamento?
Não, a consulta tem justamente a finalidade de buscar insumos suficientes para a elaboração do Regulamento, de forma que as orientações dispostas na minuta podem ser alteradas em sua versão final. Mesmo assim, tais diretrizes tendem a ser importantes balizadores na implementação desta figura fundamental aos agentes de tratamento de dados pessoais.
Comments