quarta-feira, 8 de dezembro de 2021

MIGALHAS DE PESO

fechar

Cadastre-se para receber o informativo gratuitamente

  1. Home >
  2. De Peso >
  3. Carregando o piano? notas sobre o encarregado de dados no setor público

Carregando o piano? notas sobre o encarregado de dados no setor público

Rodrigo Dias de Pinho Gomes e Rafael A. F. Zanatta

Os desafios e complexidades enfrentados pela função do Encarregado pela Proteção de Dados Pessoais na coisa pública é diretamente proporcional à relevância do cargo para o respeito e cumprimento às regras trazidas pela LGPD.

quinta-feira, 22 de julho de 2021

(Imagem: Arte Migalhas)

(Imagem: Arte Migalhas)

A Lei Geral de Proteção de Dados Pessoais - "LGPD" - representa uma verdadeira quebra de paradigma no ordenamento jurídico brasileiro, trazendo como eixos de sustentação os princípios (Art. 6) e os requisitos (Art. 7, 11 e 14) de tratamento de dados pessoais, estas comumente chamadas de "bases legais". 

Em vias de completar três anos de promulgação - em um Brasil que já parece distante de nossas lembranças em um contexto de pandemia -, a LGPD inovou ainda com a criação do polêmico relatório de impacto à proteção de dados pessoais (Art. 5, XVII), da Autoridade Nacional de Proteção de Dados - "ANPD" - (Art. 55-A) e da novel figura do Encarregado pelo Tratamento de Dados Pessoais (Art. 5, VIII), usualmente chamada de Data Protection Officer - "DPO" - que "representa uma função crucial na conformidade das práticas previstas na Lei Geral Proteção de Dados."1

Conforme clara redação do artigo 1o, não restam dúvidas de que as regras da LGPD se aplicam ao setor público, especialmente diante do parágrafo único do dispositivo, ao afirmar que "as normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios''.

Promover a adequação às novas regras trazidas pela LGPD representa sério desafio aos agentes de tratamento de dados pessoais - controlador e operador - pois demanda planejamento estratégico, definição e reserva de orçamento, contratação de consultoria especializada (quando necessário), engajamento da alta direção e mobilização de todos os setores da estrutura organizacional. 

Além disso, no processo de busca pela conformidade, comumente se identifica a necessidade de adoção de medidas técnicas de média ou alta complexidade, como a contratação/reformulação de sistemas informáticos, edição de documentação e procedimentos internos, revisão de instrumentos contratuais, etc. 

O setor público, no entanto, encontra desafios que são únicos, dada sua própria configuração e ligação umbilical com políticas públicas e configurações institucionais, o que torna o transplante de modelos de programas de adequação originários do setor privado muitas vezes inócuos, impróprios e desajustados.2 Aqui reside um dilema: não basta "copiar" o que se faz no setor privado, quando se trata de lidar com a LGPD dentro do setor público.3 

Há ainda um desafio adicional na jornada de adequação à LGPD: todas as tarefas acima elencadas devem ser coordenadas em pleno funcionamento e operação das atividades desenvolvidas pelo agente de tratamento, algo que o jargão popular denomina "trocar o pneu com o carro andando". Ora, não se espera que uma organização, pública ou privada, simplesmente interrompa as suas atividades para se dedicar exclusivamente ao projeto de adequação. 

Diante deste quadro, não é difícil afirmar que se nas organizações de cunho privado um projeto de adequação à LGPD representa um desafio hercúleo, para o setor público os entraves enfrentados são, não raras vezes, dignos de uma missão impossível. 

Em evento que participamos, organizado pela Escola Superior de Advocacia, cujo tema foi "O encarregado pelo tratamento de dados pessoais (DPO) no setor público"4, houve um amplo debate sobre estes desafios entre os painelistas.  

Dentre as ricas exposições dos convidados, destacou-se em grande medida a relevância da indicação de um Encarregado pelas instituições públicas, notadamente pelo Capítulo IV da LGPD inteiramente dedicado ao tratamento de dados pessoais pelo setor público, conforme regramento dos artigos 23 a 30. Neste Capítulo, o inciso III do artigo 23 traz um claro reforço5 à necessidade de indicação de um encarregado aos agentes de tratamento de dados pessoais, já que o artigo 41 declara ser obrigação do controlador a nomeação do DPO, sem qualquer exceção ou regra de dispensa, no momento, para os agentes públicos ou privados. 

O DPO tem a função, dentre outras, de "orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais" e "executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares", nos exatos termos dos incisos III e IV do artigo 41 da LGPD. Segundo a ANPD, "o encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD"6.

Na Europa, o guia orientativo publicado pelo Article 29 Data Protection Working Party7 informa que o DPO funciona como um "pilar" do accountability, uma figura central que deve estar no "coração" das organizações - públicas e privadas - sendo sua atuação fundamental para o cumprimento das regras atinentes à proteção de dados e privacidade. É comum, também, no território europeu, o debate sobre as limitações para assumir os custos de indicar encarregados no setor público. Por tal razão, abrem-se duas possibilidades:  a contratação de um DPO as a service, mesmo no setor público, ou a cooperação entre agentes públicos para indicação de um "único encarregado", tema emergente e amplamente discutido nos últimos dois anos. 

Porém, diante das especificidades em torno das regras de contratação, organização e gestão e responsabilidades típicas do Direito Administrativo, como dar cabo à indicação de um encarregado pelas entidades públicas? Como fornecer recursos, dar condições de trabalho adequadas e conhecimento sobre todas as atividades de tratamento pessoais, diante da vastidão de atribuições, competências e capilaridade de atuação do Estado, típicas de nosso país? 

Sem qualquer pretensão de esgotar e resolver o assunto, é possível traçar alguns caminhos, muitos deles fruto de reflexões obtidas durante o seminário mencionado acima. 

Talvez o primeiro passo seria o estabelecimento, através de um ato administrativo emanado pela autoridade competente, contemplando uma "Política de Governança de Privacidade e Proteção de Dados Pessoais", de forma a servir de guia interno para a instituição, sempre em observâncias às regras da LGPD e demais dispositivos que versem sobre proteção de dados e privacidade. Como exemplo podemos mencionar a Resolução DPGERJ n° 1.090/20218 emanado pelo Defensor Público-Geral do Estado do Rio de Janeiro. 

Ato contínuo, recomenda-se a nomeação de um encarregado pela proteção de dados pela instituição pública. Isto pode ocorrer através da nomeação de um membro interno, através de ato administrativo formal de nomeação, ou externo, através de contratação de prestador de serviços, seja uma pessoa física ou jurídica9. 

Como exemplo de nomeação de interna corporis, a Resolução 1.299/202110 da Procuradoria Geral de Justiça do Ministério Público de São Paulo que nomeou o Ouvidor do Ministério Público do Estado de São Paulo. 

Seguindo o exemplo do MPSP, o "aproveitamento" das ouvidorias para atuação como DPO se revela interessante, dado que já estão estruturadas e operantes, não havendo necessidade de modificações de grande vulto para que acumule a nova. Ao ouvidor de órgãos públicos há alguma autonomia11 para o desempenho da função, o que se coaduna com as melhores recomendações12 de boas práticas13. 

Ao mesmo tempo, a aproximação entre as estruturas das Ouvidorias com as do Encarregado gera um impasse aflitivo. Servidores alocados em Ouvidorias não necessariamente desejam ser "empurrados" para as funções exigidas pela LGPD. Trata-se de escolha que precisa ser avaliada a partir das condições reais de tal aproveitamento - e não uma imposição que pode ser constituir como regra geral. 

Dada as complexidades da gestão da coisa pública, recomenda-se ainda a criação de um comitê multissetorial, de forma a dar suporte técnico e administrativo ao encarregado. Profissionais com conhecimento técnico em  TI, RH, Marketing e outras especialidades podem e devem assessorar o DPO em seu múnus, e este formato tem sido observado em diversas esferas da administração no país. Como exemplo, vale mencionar o Comitê Gestor de Proteção de Dados Pessoais - CGPDP, órgão composto por magistrados e servidores da área técnica e vinculado à Presidência do Tribunal de Justiça de Santa Catarina14. 

Estruturas colegiadas, como as da Defensoria do Rio de Janeiro e do Tribunal de Justiça de Santa Catarina, desmistificam a ideia de que o Encarregado deve "carregar o piano sozinho". Na verdade, o trabalho de adequação com a LGPD aproxima-se mais de uma orquestra que demanda muitos músicos carregando diferentes tipos de instrumentos. A diluição do trabalho com pessoas com diferentes habilidades e expertises é fundamental em um trabalho de natureza essencialmente interdisciplinar, como é a proteção de dados pessoais.

Delineadas estas breves considerações, uma conclusão é certa: os desafios e complexidades enfrentados pela função do Encarregado pela Proteção de Dados Pessoais na coisa pública é diretamente proporcional à relevância do cargo para o respeito e cumprimento às regras trazidas pela LGPD.

____________

1 GOMES, Rodrigo Dias de Pinho. Encarregado pelo tratamento de dados pessoais na LGPD.  

2 BIONI, Bruno; ZANATTA, Rafael; KITAYAMA, Marina. Guia de Primeiros Passos para a Adequação das Defensorias Públicas à LGPD. São Paulo: Associac¸a~ o Data Privacy Brasil de Pesquisa, 2021. Disponível em: clique aqui.

3 ZANATTA, Rafael; KITAYAMA, Marina. O Desafio da LGPD para as Defensorias Públicas no Brasil, in: CRAVO, Daniela; et al (orgs.). Lei Geral de Proteção de Dados e o poder público. Porto Alegre: Centro de Estudos de Direito Municipal, 2021, p. 171-184 (argumentando que "programas de governança de dados não podem ser construídos a partir de modelos, templates, tabelas prontas e documentos ao estilo "copia e cola" produzidos pelo setor privado. Há uma necessidade de customização e de construção de programas de adequação à Lei Geral de Proteção de Dados Pessoais que levem em consideração as especificidades das Defensorias e a importância dos dados pessoais para atividades-meio e atividades-fim").

4 O Webinar contou com a participação do Procurador Geral do Município do Rio de Janeiro, Daniel Bucar; Marina Tostes e Beatriz Cunha, Defensoras Públicas do Estado do Rio de Janeiro e Encarregadas de Proteção de Dados da Instituição; André Farah, Promotor de Justiça do Ministério Público do Rio de Janeiro; Diana Castro, Procuradora do Estado de São Paulo; Rafael Zanatta, Diretor da Associação Data Privacy Brasil de Pesquisa e a Desembargadora do Tribunal de Justiça de Santa Catarina e Coordenadora do Comitê Gestor de Proteção de Dados do mesmo Tribunal, Denise Francoski. Íntegra disponível em clique aqui. Acesso em 07/07/2021. 

5 "O artigo 41 da LGPD não faz distinção quanto a instituições públicas ou privadas e por isso é importante que ambas estejam cientes da sua obrigação de indicar um encarregado de dados. A esse respeito, o art. 23, III, reforça a necessidade de um encarregado ser indicado por órgãos e entidades públicas." Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Autoridade Nacional de Proteção de Dados. Maio/2021. Disponível em clique aqui. Acesso em 02/07/2021.

6 Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Autoridade Nacional de Proteção de Dados. Maio/2021. Disponível em clique aqui. Acesso em 02/07/2021.

7 Article 29 Data Protection Working Party ('WP29') - Guidelines on Data Protection Officers ('DPOs') - wp243rev.01 - Adopted on 13 December 2016 - last Revised and Adopted on 5 April 2017.

8 Disponível em clique aqui. Acesso em 07/07/2021. 

9 "A LGPD também não distingue se o encarregado deve ser pessoa física ou jurídica, e se deve ser um funcionário da organização ou um agente externo. Considerando as boas práticas internacionais, o encarregado poderá ser tanto um funcionário da instituição quanto um agente externo, de natureza física ou jurídica. Recomenda-se que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo." Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Autoridade Nacional de Proteção de Dados. Maio/2021. Disponível em clique aqui. Acesso em 02/07/2021. 

10 Disponível em clique aqui. Acesso em 07/07/2021. 

11 A Inciso III do § 4º do art. 41 da LGPD foi revogado pela Medida Provisória nº 869/2018, onde se previa "a garantia da autonomia técnica e profissional no exercício do cargo" do DPO. 

12 "Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições." Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Autoridade Nacional de Proteção de Dados. Maio/2021. Disponível em clique aqui. Acesso em 02/07/2021. 

13 "Ao encarregado devem ser conferidas garantias efetivas de autonomia no desempenho de suas funções, não se admitindo que seja penalizado em razão do desempenho destas. Diante destas garantias, pode-se admitir inclusive que este seja parte integrante da organização ou ator externo, prestador de serviços." GOMES, Rodrigo Dias de Pinho. Encarregado pelo tratamento de dados pessoais na LGPD.  

14 O CGPDP é presidido pela Desembargadora Denise de Souza Luiz Francoski, nomeada encarregada pelo tratamento de dados pessoais do Poder Judiciário de Santa Catarina através da Portaria GP n. 1.481/2020. Disponível em clique aqui. Acesso em 07/07/2021.

Atualizado em: 22/7/2021 10:57

Rodrigo Dias de Pinho Gomes

Rodrigo Dias de Pinho Gomes

Sócio da Sociedade de Advogados Pinho Gomes. Doutorando e Mestre em Direito Civil pela UERJ. Professor dos cursos de Pós-graduação da PUC-RIO, IBMEC, EMERJ e MPRJ. Professor e coordenador da área de Direito e Tecnologia da Escola Superior de Advocacia. Pesquisador visitante na European University Institute - San Domenico di Fiesole, Italia. Membro da Comissão de Proteção de Dados e Privacidade da OAB/RJ.

Pine Data Officer
Rafael A. F. Zanatta

Rafael A. F. Zanatta

Diretor da Associação Data Privacy Brasil de Pesquisa. É mestre pela Faculdade de Direito da USP e doutorando pelo Instituto de Energia e Ambiente da USP. Mestre em direito e economia pela Universidade de Turim. Alumni do Privacy Law and Policy Course da Universidade de Amsterdam. Research Fellow da The New School (EUA). Membro da Rede Latino-Americana de Vigilância, Tecnologia e Sociedade (Lavits). Membro do Instituto Brasileiro de Responsabilidade Civil (Iberc).