Os riscos e as responsabilidades do encarregado de dados
Autores
19 de dezembro de 2021, 11h12
A Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) inovou ao demandar das empresas um profissional para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), o chamado encarregado, ou, como já era conhecido no exterior, data protection officer (DPO, artigo 5º, VIII). A denominação adotada em português, embora menos glamorosa, enfatiza acertadamente os ônus — ou encargos — dessa função, cuja responsabilidade será investigada neste breve artigo.
Para tanto, em primeiro lugar, é preciso deixar claro que a LGPD distingue a figura do DPO dos chamados agentes de tratamento (artigo 5º, IX), controladores ou operadores. Segundo o seu artigo 42, como regra, a responsabilidade pelo tratamento de dados pessoais incumbe a esses agentes — notadamente os controladores, o que, em linha de princípio, exclui o DPO da cadeia de responsabilização pelos danos causados pelo tratamento irregular de dados ou por eventuais vazamentos. Nessa linha, o próprio guia orientativo sobre a matéria, publicado recentemente pela ANPD já deixa claro que, no contexto de uma pessoa jurídica, a organização é o agente de tratamento para os fins da LGPD, já que é esta que estabelece as regras para o tratamento de dados pessoais, a serem executadas por seus representantes ou prepostos [1].
Esse regime deve-se ao fato de que, muito embora caiba ao DPO orientar os demais colaboradores e promover a cultura da proteção de dados pessoais, traduzindo os riscos inerentes a cada operação de tratamento de dados pessoais, é a empresa quem decide, ao final e ao cabo, através da sua mais alta gestão, o seu apetite de risco, as ações e os investimentos que serão prioritários, especialmente frente à natural escassez de recursos para abordar tantas novas exigências. Tal qual o advogado, que não se obriga a ganhar a causa, mas a empregar o zelo e a competência esperados por quem o fez procurador, como regra geral, o encarregado não responde pela eventual não conformidade da empresa.
Contudo, basta examinar mais de perto as atribuições que a lei conferiu à figura do DPO para compreender que esse sujeito está longe de ficar isento de quaisquer responsabilidades, tanto na esfera civil como na criminal. Destarte, em especial tratando-se de posição recentemente criada nas empresas brasileiras, cabe pontuar alguns riscos jurídicos inerentes ao cargo de encarregado pela proteção de dados pessoais.
Inicialmente, parece pacífico que, se o encarregado agir com dolo ou culpa grave e em razão disso causar danos (por exemplo, no caso de vazamento intencional de dados pessoais), responderá pelos danos causados perante o empregador e terceiros [2]. A culpa grave passível de responsabilização pode advir tanto de negligência, como de imprudência ou imperícia no exercício das suas atividades. Perante o titular, o controlador é civilmente responsável, mas caberá o direito de regresso contra o DPO faltoso, comprovado o dolo ou a culpa grave.
É importante referir que, em linha de princípio, o DPO não responderá por ato de terceiro e sim por ato próprio, mas temos de atentar a algumas situações que poderão decorrer da interpretação das atividades que a lei lhe reserva, principalmente nos casos de omissão. Pela LGPD, os deveres de vigilância e precaução cabem precipuamente ao controlador, a menos que, por contrato, a descrição do cargo delegue essas atribuições ao DPO — situação autorizada pelo artigo 42, §2º, inciso IV (compete ao DPO "executar as demais atribuições determinadas pelo controlador"). Em tal hipótese, o DPO poderá responder por omissão imprópria ao assumir a condição de garante nos termos do Código Penal, artigo 13, §2º, "b".
Nesse mesmo sentido, cabe breve digressão sobre a responsabilidade penal por omissão, já que aquela decorrente de ação é mais facilmente compreendida. Os crimes omissivos, em linhas gerais, podem ser próprios ou impróprios. Os próprios já estão dispostos em lei no tipo que descreve uma omissão como fato típico, como, exemplificativamente, a omissão de socorro. Já os impróprios decorrem de tipo penal que, como regra, é praticado via ação, mas também pode ser praticado mediante omissão, desde que o agente pudesse e devesse agir. O dever de agir decorre de três situações: a) previsão legal; b) assunção de responsabilidade por outro meio; e c) geração de risco que deve ser evitado por ação. Assim, ainda que o dever legal inicialmente não seja imputado ao DPO, pode este assumir contratualmente a responsabilidade de impedir o resultado, o que potencialmente poderia resultar em repercussões cíveis e, até mesmo, criminais.
Todavia, ainda tratando de responsabilidade criminal por omissão, a mera ocorrência do resultado que deveria ser evitado pelo DPO não gera — automaticamente — sua responsabilidade criminal, uma vez que não admitida na forma objetiva. Indispensável, portanto, que tenha agido ou com dolo ou com culpa. Nesta última modalidade, apenas há crime se houver expressa previsão da modalidade culposa, o que é excepcional. No que diz respeito ao dolo, importa referir que além da espécie dolo direto, também há o dolo eventual, segundo o qual o agente tem ciência da possibilidade do resultado, estando indiferente à sua concretização.
Relacionando o tema à LGPD, conquanto esta não contenha tipos penais especiais, deve-se lembrar que a privacidade já vinha penalmente tutelada no Código Penal e em legislação esparsa. Desse modo, sendo o DPO aquele que está à frente das medidas de proteção à privacidade no âmbito das organizações, teremos de atentar a alguns tipos relacionados à proteção dos dados. Se pensarmos no Código Penal, conforme a natureza da organização, vazamentos e uso indevido de dados pessoais podem facilmente incidir nas previsões de divulgação de segredo (artigo 153, §1º-A) ou na violação de segredo profissional (artigo 154). Particularmente nesse último caso, considera-se crime, punível com pena de detenção de três meses a um ano ou multa, revelar o segredo, sem justa causa, de que tem ciência em razão de função, ministério, ofício ou profissão, e cuja revelação possa produzir dano a outrem. Descumpridos os deveres de proteção, em se tratando de crime próprio ("em razão da função"), a administração da empresa ou, quem sabe, o DPO, caso receba contratualmente essas atribuições, podem ser responsabilizados [3]. Até mesmo porque a LGPD aponta expressamente obrigações de segurança e boas práticas no tratamento de dados em seu Capítulo VII (artigos 46 e ss.), podendo configurar crime omissivo a negligência grave, nesse âmbito.
Além disso, temos na LGPD o artigo 42, pelo qual compete ao DPO "aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências". Essas providências poderão igualmente redundar na responsabilidade criminal do DPO no caso de se tratar de relação de consumo, cabendo lembrar dois crimes previstos nos artigos 72 e 73 do Código de Defesa do Consumidor (CDC). O primeiro tipifica a conduta de "impedir ou dificultar o acesso do consumidor às informações que sobre ele constem em cadastros, banco de dados, fichas e registros"; o segundo, "deixar de corrigir imediatamente informação sobre consumidor constante de cadastro, banco de dados, fichas ou registros que sabe ou deveria saber ser inexata". São tipos imediatamente relacionados à LGPD e à atividade do DPO, pois a LGPD, por um lado, encarregou-o da adoção das providências necessárias em face dos titulares (artigo 42, §2º, inciso I) e, por outro lado, concedeu aos titulares, nos artigos 18 e 19, o direito de requerer o acesso aos dados pessoais (artigo 18, II) e a retificação de dados inexatos (artigo 18, III). Tais providências são incumbência específica do DPO — por lei — e sua omissão frente a um titular de dados que seja consumidor de produtos ou serviços da empresa poderá incidir nas penas previstas no CDC.
Acrescemos a essas hipóteses, ainda, o disposto no inciso III do §2º, pelo qual o DPO assume o dever de "orientar funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais". Novamente aqui, em havendo omissão grave, ele pode tornar-se responsável, ao menos civilmente, pela má conduta de outros funcionários da organização.
Com essas informações, esperamos chamar a atenção quanto aos cuidados necessários na descrição contratual das atribuições do encarregado pela proteção de dados pessoais e na coordenação das boas práticas que devem ser fomentadas — e mesmo exigidas — no âmbito das organizações. Não estamos, por meio deste breve texto, defendendo a responsabilização criminal do DPO, eis que entendemos que o Direito Penal deveria dedicar-se a situações excepcionais, e as responsabilidades civil e administrativa parecem suficientemente adequadas para tutelar a questão. O que se pretende é justamente abordar os riscos inerentes ao cargo de DPO, os quais ainda requerem aprofundamento em nível teórico, além da indispensável interpretação dos tribunais, em casos concretos.
[1] Autoridade Nacional de Proteção de Dados Pessoais — ANPD, Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, Brasília, DF, 2021, disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf, acessado em 07/12/2021.
[2] Silva Bruno, Marcos Gomes. Dos Agentes de Tratamento de Dados Pessoais. In Maldonado, Viviane e Ópice Blum, Renato (coord.). LGPD Comentada. 2ª Ed. São Paulo: RT, 2020, p. 321.
[3] Rassi, João Daniel; Labate, Victor; Yang, Eloisa. Aspectos Criminais da Lei Geral de Proteção de Dados. In Revista Magister de Direito Penal e Processual Penal, nº 95:18 — (Abr/Mai 2020), p. 25.
Autores
Encontrou um erro? Avise nossa equipe!