Afinal, quem (não) pode ser encarregado pelo tratamento de dados pessoais?

Entre as muitas obrigações da Lei Geral de Proteção de Dados Pessoais (LGPD), está a nomeação de um encarregado pelo tratamento de dados pessoais.

A princípio, toda e qualquer organização, independentemente do seu tamanho, deve indicar um encarregado. Isso porque, embora a LGPD preveja a possibilidade da dispensa, de acordo com a natureza e o porte ou o volume de operações de tratamento de dados, esta depende de regulamentação por parte da ANPD.

Inclusive, já existe uma minuta da resolução que dispõe sobre a aplicação da LGPD para agentes de tratamento de pequeno porte, mas, antes de ser oficialmente publicada, ela ainda passará por algumas etapas do processo de regulamentação, como a consulta pública que segue com o prazo aberto.

Apesar disso, é possível adiantar que, segundo o documento, os agentes de tratamento considerados de pequeno porte não serão obrigados a indicar o encarregado, desde que disponibilizem um canal de comunicação para o titular de dados.

Superado esse ponto, é provável que você esteja se perguntando, afinal, quem poderá ser nomeado como encarregado?

Embora a LGPD não apresente detalhes sobre o tema, a Autoridade Nacional de Proteção de Dados trouxe contribuições importantes através de um guia. Segundo a ANPD, o encarregado pode ser tanto um funcionário da empresa quanto um terceiro, inclusive uma pessoa jurídica, o importante é que o indicado possua conhecimento mínimo sobre o tema, bem como liberdade para exercer as suas atribuições.

Na prática, considerando o custo de contratar uma pessoa para desempenhar exclusivamente o papel de encarregado, o que tem sido visto é a indicação de um colaborador que passa, então, a acumular funções na organização.

Ocorre que, apesar de ser algo comum no mundo real, esse acúmulo pode não ser recomendável e você sabe por quê?

O problema é que, com frequência, verifica-se a existência de um claro conflito de interesses entre as funções desempenhadas pelo colaborador que acumula a função do encarregado. O tal do conflito, conforme Nairane Leitão, acontece quando a mesma pessoa que executa as atividades é responsável por fiscalizá-las, o que acaba por implicar em uma "autoavaliação".

Aqui, vale um exemplo clássico para ilustrar: se o responsável pelo setor de TI possui a função de definir e implementar as soluções tecnológicas aplicáveis ao tratamento de dados pessoais, este não poderá ser nomeado como encarregado, tendo em vista que, se assim fosse, ele estaria fiscalizando o seu próprio trabalho, o que, nem de longe, parece ser uma análise imparcial.

Inclusive, ainda no ano passado, a Autoridade de Proteção de Dados da Bélgica multou uma operadora de telefonia em 50 mil euros ao identificar que o responsável pela área de compliance também exercia atividades de data protection officer (DPO) [1], situação que, naquela oportunidade, caracterizava um conflito de interesses.

Isso porque, entre as atribuições do compliance officer (CO), está a elaboração de políticas com vistas à análise dos parceiros comerciais por meio de due diligence e background check, cujo objetivo é minimizar exposição a riscos com contratações de terceiros que não estejam alinhados com os padrões éticos da empresa.

Por vezes, o uso dessas ferramentas pode acarretar numa coleta excessiva de dados, o que impacta diretamente na existência de conflito de interesses entre o DPO e o CO, já que compete ao DPO verificar se os dados pessoais estão sendo coletados em consonância com o princípio da necessidade (artigo 6º, inciso III, da LGPD [2]).

Ao contrário da LGPD, a General Data Protection Regulation (GDPR), a "Lei de Proteção de Dados Pessoais" da União Europeia, aborda expressamente a questão do acúmulo de funções no seu artigo 38, afirmando que pode haver acumulação, desde que não resulte em conflito de interesses.

E mais, as "Diretrizes para DPO" esclarecem que o DPO não pode exercer "um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais", sendo assim, via de regra, são incompatíveis, além do diretor de TI, os cargos de diretor executivo, de Operações, Financeiro, Marketing e de Recursos Humanos.

Na prática, portanto, a designação do encarregado vem se revelando uma verdadeira dificuldade para as instituições, sejam elas públicas ou privadas.

E, embora a LGPD não mencione expressamente a questão do conflito de interesses, é bem provável que a ANPD se ocupe com o tema e defina normas complementares sobre o encarregado (artigo 42, §3º), tendo em vista que, já no Guia de Agentes de Tratamento e Encarregados, a autoridade se preocupou em citar a importância da sua independência.

Em síntese, mesmo que ainda não haja um posicionamento oficial da ANPD, desde já é importante que os controladores tenham cautela ao indicar o seu encarregado, ponderando não somente o custo, mas a real efetividade e imparcialidade daquele que for designado para a função, considerando a relevância de distinguir aquele que define aspectos do tratamento dos dados daquele que monitora a conformidade com as boas práticas que derivam das disposições da LGPD.

Referências bibliográficas
ALBUQUERQUE, Izabel. É possível cumular as funções de Compliance Officer e de Data Protection Officer (DPO)? 2021. Disponível em: <https://www.nextlawacademy.com.br/blog/e-possivel-cumular-as-funcoes-de-compliance-officer-e-de-data-protection-officer-dpo>. Acesso em 30 de set. de 2021.

ANPD. ANPD prorroga prazo para recebimento de contribuições da consulta pública sobre a norma de aplicação da LGPD para microempresas e empresas de pequeno porte. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-prorroga-prazo-para-recebimento-de-contribuicoes-da-consulta-publica-sobre-a-norma-de-aplicacao-da-lgpd-para-microempresas-e-empresas-de-pequeno-porte> Acesso em 30 de set. de 2021.

ANPD. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. 2021. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf>. Acesso em 30 de set. de 2021.

ANPD. Minuta de Resolução que dispõe sobre a fiscalização e aplicação de sanção pela Autoridade Nacional de Proteção de Dados. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/inclusao-de-arquivos-para-link-nas-noticias/minuta_de_resolucao___aplicacao_da_lgpd_para_agentes_de_tratamento_de_pequeno_porte.pdf> Acesso em 30 de set. de 2021.

BRASIL. Lei n. 13.709/2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em 30 de set. de 2021.

EUROPEAN COMMISSION. Guidelines on Data Protection Officers. Disponível em: <https://ec.europa.eu/newsroom/article29/items/612048/en> Acesso em 30 de set. de 2021.

LEITÃO, Nairane Farias Rabelo. Decisão belga sobre proteção de dados pode ter reflexo no Brasil. Disponível em: <https://www.conjur.com.br/2020-jun-02/nairane-leitao-protecao-dados-belgica-brasil> Acesso em 30 de set. de 2021.