Transparência e interação devem orientar encarregado de dados pessoais
Em consulta pública, minuta de norma da ANPD especifica o papel dos DPOs
A necessidade de transparência e a constante interação entre as empresas e o encarregado de dados pessoais, ou data protection officer (DPO), são os destaques da minuta de Resolução que regulamentará a atividade desses profissionais, e que está em elaboração pela Autoridade Nacional de Proteção de Dados (ANPD).
A existência do encarregado de dados pessoais é uma das exigências da Lei Geral de Proteção de Dados (LGPD) para grande parte das empresas que atuam como controladoras de dados pessoais. Mas ainda faltam ser definidos aspectos relativos ao papel desses profissionais, como os relativos à indicação, atribuições e condições para a sua atuação. Para coletar subsídios para a elaboração da norma, a ANPD abriu uma consulta pública a respeito da minuta de Resolução – que recebe contribuições até o dia 7/12/23.
Jenne Silva, sócia do Vieira da Rocha, Machado Alves Advogados, considera que as consultas públicas e normas estimula a evolução das empresas no que diz respeito à cautela e segurança no tratamento dos dados pessoais. “A edição de norma especifica é de suma importância para conferir ainda mais transparência ao papel dos agentes de tratamento, delimitar responsabilidades, estabelecer regras razoáveis e auditáveis, propiciando um ambiente regulatório ainda mais justo.”
“Um ponto central enfatizado na norma é a transparência tanto para os titulares quanto para a própria ANPD quanto à nomeação do encarregado de dados pessoais: é necessário um ‘ato formal’ de nomeação do encarregado, juntamente com a obrigação de a organização manter suas informações de contato e identidade visíveis em seu sítio eletrônico”, afirma Eugênio Corassa, associado do Freitas Ferraz Advogados.
A proposta de norma estipula que a publicação deve ser feita em veículo de comunicação oficial, mas não define o que é o tal ato formal de nomeação. Guilherme Guidi, também associado do Freitas Ferraz Advogados, diz que não há clareza sobre o procedimento de divulgação, o que gera desafios para as empresas – ponto que, acredita, merece ser aprimorado.
Interação entre o DPO e a alta administração
Outro ponto que pode ser melhorado, considera Guidi, é o que trata da possibilidade de indicação de mais de um encarregado (o que pode gerar prejuízo às operações internas se não houver regras bem definidas de governança, além de potencialmente resultar em falta de transparência perante os titulares de dados e a ANPD). “Também se observa a problemática na obrigação de a organização contar com meios de atendimento humanizados do encarregado com o titular de dados e com a ANPD”, afirma, já que o orçamento limitado vem levando muitas empresas a utilizar sistemas de resposta automática.
Corassa considera que outro aspecto relevante da minuta diz respeito à interação diária entre o encarregado de dados pessoais e o agente de tratamento – este último deve fornecer as condições adequadas para que o DPO possa atuar de forma autônoma, incluindo acesso à alta administração.
Na entrevista abaixo, os advogados do Freitas Ferraz abordam os principais pontos da consulta pública.
– De acordo com a LGPD e normas da ANPD, quais empresas precisam contar com encarregados de dados pessoais (DPO) e quais estão dispensadas da exigência?
Eugênio Corassa: Em linhas gerais, todas as empresas que atuam como controladoras de dados têm a responsabilidade de nomear um encarregado. Isso engloba aquelas que coletam, armazenam e processam dados pessoais para operar seu modelo de negócio ou administrar colaboradores.
A exceção é aplicada aos agentes de tratamento de pequeno porte, como microempresas, startups e entidades sem fins lucrativos, os quais foram dispensados dessa obrigação conforme Resolução nº 02/2022 da ANPD, desde que contem com um canal de comunicação eficaz com os titulares de dados.
Embora a indicação do encarregado não seja compulsória para esses agentes de tratamento de menor porte, é considerada uma prática recomendada e está alinhada com as diretrizes de boas práticas e governança estabelecidas pela ANPD.
Essa medida não apenas fortalece a confiança dos titulares de dados, mas também reflete um compromisso ativo com a proteção e transparência no tratamento de informações pessoais.
Jenne Silva: A função do encarregado pelo tratamento de dados pessoais (DPO) está prevista no artigo 41 da LGPD. De maneira geral, todas as empresas que coletam, armazenam e tratam dados precisam de um DPO da LGPD. Contudo, a Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022 flexibilizou essa necessidade dispondo, em seu artigo 11, o seguinte:
“Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.
- 1º O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD.
- 2º A indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD.”
Assim, a regra é a indicação do encarregado pelo tratamento de dados pessoais, porém para os agentes de tratamento de pequeno porte tal obrigação foi relativizada, permanecendo a obrigação de disponibilizar um canal de comunicação com o titular de dados, respeitando os direitos dos mesmos nos termos da legislação vigente.
– Quais são os principais pontos da consulta pública da ANPD referente ao encarregado de dados pessoais?
Eugênio Corassa: A proposta de norma da ANPD, em fase de consulta pública, visa estabelecer diretrizes mais precisas sobre o papel do encarregado, abordando questões como indicação, atribuições e condições para sua atuação.
Um ponto central enfatizado na norma é a transparência tanto para os titulares quanto para a própria ANPD quanto à nomeação do encarregado: é necessário um “ato formal” de nomeação do encarregado, juntamente com a obrigação de a organização manter suas informações de contato e identidade visíveis em seu sítio eletrônico. Enquanto a proposta fala sobre publicação da indicação em veículo de comunicação oficial, ainda não há definição do que se poderia entender como tal ato formal de nomeação.
Outro aspecto relevante diz respeito à interação diária entre o encarregado e o agente de tratamento. Conforme estipulado na norma, o agente de tratamento deve fornecer as condições adequadas para que o encarregado possa atuar de forma autônoma, incluindo acesso à alta administração. É enfatizado que a responsabilidade pela conformidade com a LGPD recai sobre o controlador, sendo o encarregado um recurso para assegurar essa conformidade.
A formação e competências acadêmicas necessárias ao encarregado são também abordadas, sendo que o regulamento proposto não estabelece a obrigatoriedade de certificação profissional ou filiação a entidades setoriais. Também não impõe uma formação específica, refletindo a preocupação da ANPD com a capacidade do encarregado de lidar eficazmente com a legislação e suas atribuições no contexto empresarial.
Adicionalmente, a norma detalha atribuições complementares do encarregado, incluindo auxílio e orientação ao agente de tratamento na elaboração de comunicação de incidentes e na produção de documentação de conformidade perante a LGPD, como relatórios de impacto e registros das operações de tratamento de dados pessoais.
Jenne Silva: A minuta de regulamentação tem o objetivo de estabelecer normas complementares sobre: identificação do encarregado em sítio eletrônico; necessidade de formalização da indicação do encarregado; qualificações e características do DPO; autonomia para exercício das atividades; conflito de interesses considerando o papel exercido; indicação de encarregado por operadores; atribuições complementares do encarregado; responsabilidades.
– Com relação à minuta de norma divulgada, há pontos que podem ser aperfeiçoados? Quais? Qual é a importância dessa norma?
Guilherme Guidi: Certamente, esse é o propósito principal da consulta pública em questão. Um dos pontos mais destacados é a exigência de publicação da indicação do encarregado em veículo de comunicação oficial, o que gera desafios para várias empresas, principalmente devido à falta de clareza sobre o procedimento.
Outro ponto de dúvida é a possibilidade de indicação de mais de um encarregado, o que pode acarretar desafios organizacionais. Enquanto tal tipo de arranjo possa ser adequado para grandes grupos empresariais, na maioria dos casos a existência de mais de um encarregado na mesma organização pode gerar prejuízo às operações internas se não houver regras bem definidas de governança, além de potencialmente resultar em uma falta de transparência perante os titulares de dados e perante a ANPD.
Também se observa a problemática na obrigação de a organização contar com meios de atendimento humanizados do encarregado com o titular de dados e com a ANPD. Vê-se que muitas empresas têm optado por sistemas de resposta automática em razão de orçamentos limitados e até mesmo a atuação personalizada do encarregado pode fazer com que perca de vista suas outras atribuições, pois sua atuação perderia em muito no quesito de eficiência.
Jenne Silva: A edição de norma especifica é de suma importância para conferir ainda mais transparência ao papel dos agentes de tratamento, delimitar responsabilidades, estabelecer regras razoáveis e auditáveis, propiciando um ambiente regulatório ainda mais justo.
A definição de alguns conceitos também é um avanço para dirimir dúvidas sobre o papel e características do encarregado em si, bem como a questão de conflito de interesses do agente de tratamento.
Em paralelo, é sabido que a ANPD tem publicado orientações não vinculantes sobre o tema, por meio do Guia Orientativo para definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, que visam fornecer esclarecimentos e recomendações gerais enquanto a regulamentação não é concluída.
– No que diz respeito aos encarregados de dados pessoais, como você avalia a adaptação das empresas brasileiras e a atuação desses profissionais? Há diferentes estágios, de acordo com o setor e porte das empresas?
Guilherme Guidi: As estratégias adotadas pelas empresas brasileiras para lidar com essa questão têm sido diversas, algumas optam por internalizar a função, enquanto outras preferem terceirizar. Atualmente, o serviço de DPO terceirizado (conhecido como DPO as a service), permitido pela norma, tornou-se uma prática comum no Brasil.
Nesse contexto, as empresas optam por contratar profissionais externos especializados, ao invés de investir na formação de talentos internos. Essa escolha é influenciada por diversos fatores, desde a urgência em ter especialistas qualificados até a alta rotatividade de funcionários.
A adaptação das empresas brasileiras é profundamente afetada pelo tamanho e recursos disponíveis, mas o segmento de atuação da empresa também influencia o peso dado a tais decisões. Setores altamente regulados, como saúde e financeiro, geralmente demandam profissionais altamente especializados com conhecimento sobre aquele setor específico e demonstram maior preocupação com o tema.
Outro ponto relevante é o estágio da empresa no mercado. Empresas de menor porte, como startups isentas da obrigação de indicação, frequentemente não têm um encarregado designado, focalizando em preocupações diferentes para desenvolvimento do seu negócio.
Além disso, a função do encarregado tem evoluído, superando discussões sobre vínculos a entidades específicas ou certificações. Conforme proposto na norma em consulta pública, o foco está no conhecimento de gestão de atividades e em competências relacionadas à privacidade e proteção de dados.
Jenne Silva: Observa-se uma conscientização mais efetiva na cultura organizacional das empresas que estão buscando um profissional para assumir este papel dentro do seu quadro corporativo ou até mesmo por meio de consultorias especializadas. Nota-se um avanço no processo de adaptação da rotina empresarial às regras previstas na LGPD, buscando-se o comprometimento não apenas do DPO, mas também dos colaboradores que também contribuem para manter a conformidade legal.
Contudo, ainda é possível identificar certa resistência de parcela do segmento corporativo, em que não há uma volumetria de dados significativa, mas nem por isso pode deixar de se adequar às regras previstas na LGPD.
O fato de ANPD estar realizando consultas públicas e publicando normas específicas acaba por estimular ainda mais esse processo de evolução nas empresas, incentivando uma atuação com mais cautela e segurança no tratamento dos dados pessoais.