Critérios para a nomeação de encarregado pelo DPO - Data Protection Officer - Tratamento de dados pessoais

1. Considerando o arcabouço legal ora existente, sob quais fundamentos a ANPD poderia dispor sobre eventuais critérios de restrição para que pessoas sejam designadas como encarregados de proteção de dados? 

Tendo em vista a previsão do inciso XIII do art. 5º da Constituição Federal, é possível o exercício de um determinado trabalho desde que atendidas as qualificações profissionais que a lei estabeleça.

A LGPD - Lei Geral de Proteção de Dados Pessoais define as atribuições dos encarregados no § 2º do art. 41, sendo legal também o estabelecimento de normas complementares pela ANPD sobre: a definição e as atribuições do encarregado, conforme o § 3º do mesmo dispositivo legal.

Sendo assim, vindo a ANPD a estabelecer, via norma complementar, sobre a qualificação mínima necessária para a atuação do encarregado e o profissional atendendo esses requisitos previstos, então os critérios para a sua designação seriam legais.

Caso não haja uma definição mínima para a qualificação profissional do encarregado, seja pela ANPD ou uma clareza em relação a isso pelo contratante, as obrigações previstas na LGPD podem não ser interpretadas da maneira correta e os agentes de tratamento serem expostos a riscos de descumprimento legal.

Ademais, encarregados que sejam empregados, com contratos regidos pelo decreto-lei  5.452/43 - CLT, deverão ter sua qualificação profissional registrada em livros ou sistemas eletrônicos dos empregadores, segundo o que prevê o parágrafo único do art. 41, e em conformidade às instruções do Ministério do Trabalho.

Recentemente, o Ministério do Trabalho regulamentou parcialmente a ocupação, inserindo atribuições pertinentes ao encarregado e seu respectivo código na CBO - Classificação Brasileira de Ocupações: 1421-35.

Segundo a definição da CBO, são sinônimas as ocupações com as nomenclaturas: oficial de proteção de dados pessoais, DPO e encarregado de proteção de dados pessoais. Já quanto às atribuições, a CBO considerou:

- planejamento e gestão de processos de riscos e de proteção de dados pessoais e privacidade, com a identificação de situações de riscos e propositura de respectivos mitigadores;

- participação na implementação do programa de governança em privacidade;

- monitoramento e avaliação sobre o cumprimento das políticas do programa, normativos, procedimentos internos e parceiros de negócios.

Portanto, a recomendação é que a restrição para a nomeação de encarregado ocorra como uma recomendação aos agentes de tratamento, não como uma obrigação legal. Assim, caso a organização não tenha uma clareza sobre possíveis atribuições e qualificação necessária do profissional a ser nomeado, poderia valer-se da norma regulamentadora.

2. Deveria haver critérios para que a pessoa possa ser designada como encarregado? Por exemplo, formação mínima, qualificação e habilidades, experiência profissional, mecanismos formais para atestar tais conhecimentos, dentre outros.

Como, atualmente, a LGPD não determina, nem a ANPD regulamenta, a qualificação necessária para a realização do trabalho como encarregado, o agente de tratamento, contratante, acaba confiando em diferentes proponentes, próprios colaboradores que assumem a função ou em consultores externos, para suportá-lo no alcance da governança em privacidade.

Para ser encarregado, não existe uma formação específica ou certificação obrigatória. Porém, diante da complexidade das atribuições da função, é necessária atenção sobre o verdadeiro papel do encarregado e quais habilidades são necessárias para as responsabilidades que lhe são atribuídas no caso-a-caso, além daquelas previstas, como mínimas, no § 2º do art. 41 da LGPD.

Considerando que a profissão surgiu no contexto da legislação europeia de proteção de dados - regulamento, UE, 2016/679 do Parlamento Europeu e do Conselho, de 27/4/16, vale destacar a previsão legal sobre a qualificação do encarregado:

"Secção 4 - Encarregado da proteção de dados

Artigo 37 - Designação do encarregado da proteção de dados

5. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no art. 39". (grifos nossos)

Sendo assim, alguns perfis de profissionais podem ter mais facilidade de adaptação com as atribuições definidas também pela LGPD, por terem conhecimento ou experiência profissional mais abrangente, que são necessárias tendo em vista que o programa de governança de privacidade impacta em análise e readequação de muitos processos em uma organização, havendo diferentes abordagens: legal, técnica, bem como compreensão sobre a atuação e regulamentação específica do segmento da organização.

Por isso, muitos dos profissionais que têm sido nomeados como encarregados nas organizações, em geral, têm alguma experiência ou conhecimento nas áreas: jurídica, compliance, segurança cibernética, segurança e tecnologia da informação, gestão de riscos, ouvidoria e/ou canal de atendimento, SAC.

No mesmo sentido é a Instrução Normativa SGD/ME 11, de 19/11/20, do Ministério da Economia, que dispõe sobre a indicação do encarregado pelo tratamento dos dados pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional.

Segundo o § 1º do art. 1º da referida Instrução, IN, o encarregado deverá possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público, segmento este previsto especificamente pela IN, mas que pode ser interpretado conforme cada caso: área financeira, terceiro setor, saúde e outros.

Sendo assim, além de formação superior, pode-se destacar que são importantes conhecimentos e competências do encarregado sobre (Lima, Alcassa, Peck et al.):

 A LGPD e leis setoriais do segmento de atuação;

 A legislação de outros países sobre proteção de dados;

 A organização e o seu modelo de negócio;

 Boa comunicação interna e externa;

 Governança corporativa, processos e segurança da informação.

A certificação emitida por organizações terceiras, quanto ao conhecimento que os profissionais detêm, não deve ser condição legal para a contratação ou nomeação de encarregados.

Por outro lado, a certificação de um profissional pode ser considerada como uma maneira de demonstração de evidências mínimas, atestadas por uma terceira parte, sobre o conhecimento específico do profissional que concorre à uma vaga como encarregado, seja como empregado ou prestador de serviço, e até para cumprimento do art. 6º, X, princípio da responsabilização e prestação de contas, pelo agente de tratamento, mas tal exigência mínima não deve ser prevista em lei ou na norma regulamentadora sobre o encarregado.

Quanto ao tempo de experiência profissional, cabe a cada contratante verificar o seu contexto para a exigência em específico, isso porque a própria LGPD é no sentido de prever, em seu art. 50, a possibilidade da implementação da governança em privacidade conforme a complexidade dos tratamentos de dados pessoais realizados por cada organização em particular.

Na mesma linha do exposto acima, é a orientação da autoridade de proteção de dados do Reino Unido, in verbis:

"Que qualidades profissionais o DPO deve ter?

 O GDPR do Reino Unido diz que você deve nomear um DPO com base em suas qualidades profissionais e, em particular, experiência e conhecimento especializado da lei de proteção de dados.

 Ele não especifica as credenciais precisas que eles devem ter, mas diz que isso deve ser proporcional ao tipo de processamento que você realiza, levando em consideração o nível de proteção que os dados pessoais exigem.

 Portanto, quando o processamento de dados pessoais for particularmente complexo ou arriscado, o conhecimento e as habilidades do DPO devem ser avançados o suficiente para fornecer uma supervisão eficaz.

 Seria uma vantagem para o seu DPO também ter um bom conhecimento de sua indústria ou setor, bem como suas necessidades de proteção de dados e atividades de processamento" (ICO, 2022). (grifos nossos)

Portanto, a nomeação do encarregado deve ser realizada pela própria organização contratante, porém, sendo recomendável  que a organização analise determinadas qualificações do profissional que será nomeado, ou contratado, como encarregado, como: conhecer a área de atuação da organização para que haja a personalização do programa de privacidade ao modelo de negócio, como previsto pelo art. 50 da LGPD, bem como determinadas habilidades e conhecimentos, soft e hard skills, para propor soluções que integrem a eficiência de cada organização em particular, o exercício dos direitos dos titulares de dados, o acompanhamento da aderência à governança em privacidade, as tecnologias disponíveis para as soluções apresentadas e o atendimento à legislação como um todo (Lima & Alves, 2021).

A partir de determinadas qualidades acadêmicas e profissionais, exigidas conforme cada caso, o encarregado poderá ser considerado um recurso fundamental na estrutura de governança de privacidade de uma organização.

Dessa forma, a seleção acertada desse profissional, encarregado, interno ou externo, DPO as a service, é fundamental para as organizações: tanto para o sucesso do programa de privacidade, quanto para mitigar ou evitar demandas judiciais por parte dos titulares de dados, por decorrência da violação aos seus direitos, e sanções por parte do Judiciário e da própria ANPD (OAB SP, 2021).

_____________

*Primeira parte da exposição da Dra. Adrianne Lima, na reunião técnica da Autoridade Nacional de Proteção de Dados - ANPD, em 8 de abril de 2022, com a tomada de subsídios para a elaboração da norma do Encarregado (DPO), colaborando com esclarecimentos sobre as características e atribuições dessa função, tendo em vista a regulamentação conferida à Autoridade Nacional de Proteção de Dados - ANPD pelo § 3º do artigo 41 da Lei Geral de Proteção de Dados Pessoais - LGPD (Lei n. 13.709/2018)

_____________

Advogados, C. G. (28 de setembro de 2018). Parecer n. 14/PP/2018-G. Conselho Geral da Ordem dos Advogados. Acessível em: https://portal.oa.pt/media/125991/parecer14-pp-2018-declaracao-de-voto-expurgado-002.pdf

Brasil. Lei nº 13.709, de 14 de agosto de 2018.  Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF. Acessível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Conselho Federal da Ordem dos Advogados do Brasil. Provimento n. 188/2018. Acessível em: https://www.oab.org.br/leisnormas/legislacao/provimentos/188-2018

Conselho Regional de Lisboa (CRL). Acessível em: https://portal.oa.pt/ordem/regrasprofissionais/estatuto-da-ordem-dos-advogados/

Council of Bars and Law Societies of Europe. Guidance on the main new compliance measures for lawyers regarding the General Data Protection Regulation (GDPR), 2017, p. 4.

Consolidação das Leis do Trabalho - CLT. Decreto-lei n. 5.452/1943. Acessível em: http://www.planalto.gov.br/ccivil_03/decreto-lei/del5452.htm

Enforcement Tracker (2020). Sanção da Autoridade Belga de Proteção de Dados (APD). Envolvimento insuficiente do responsável pela proteção de dados.  Acessível em: https://www.enforcementtracker.com/ETid-272

Information Comissioner's Office - ICO (2022). Agentes de proteção de dados. Acessível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-officers/

Lima, Adrianne. Alcassa, Flávia. DPO: atividade inscrita no CBO pelo Ministério do Trabalho. Acessível em: https://cryptoid.com.br/banco-de-noticias/dpo-atividade-inscrita-no-cbo-pelo-ministerio-do-trabalho/

Lima, Adrianne. Alves, Davis (2021). Encarregados - Data Protection Officer - DPOs exigidos pela LGPD - Lei Geral de Proteção de Dados. São Paulo, São Paulo, Brasil: Haikai Editora. ISBN: 978-65-86334-88-3. Acessível em: https://haikaieditora.com.br/produto/encarregados-data-protection-officer-dpo/

Ministério da Economia. Instrução Normativa SGD/ME Nº 117/2020. Dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional. Acessível em: https://www.in.gov.br/en/web/dou/-/instrucao-normativa-sgd/me-n-117-de-19-de-novembro-de-2020-289515596

Portal do Treinamento. Como diferentes profissionais podem contribuir no Programa de Governança em Privacidade. Acessível em: https://www.portaldotreinamento.com.br/dpo-data-protection-officer/

Lima, Adrianne. Peck, Patrícia. Tufaile, Cinthia. Alcassa, Flávia. Correia, Umberto. Ordem dos Advogados do Brasil (OAB, 2021) - São Paulo. Jornal da Advocacia. "Advogados - encarregados (DPO interno e DPO as a service)" nos programas de governança em privacidade (LGPD).  Acessível em: https://jornaldaadvocacia.oabsp.org.br/noticias/ponto-de-vista/advogados-encarregados-dpo-interno-e-dpo-as-a-service-nos-programas-de-governanca-em-privacidade-lgpd/

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho - RGPD (General Data Protection Regulation - GDPR). Acessível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT#d1e4426-1-1 

Lima, Adrianne. Peck, Patricia. Alcassa, Flávia. Tufaile, Cinthia. Correia, Umberto. Crisostomo, Juliana. (et al., 2021). "Advogados - encarregados (DPO interno e DPO as a service)" Nos programas de governança em privacidade (LGPD). Acessível em: https://www.migalhas.com.br/depeso/345714/advogados--encarregados-dpo-interno-e-dpo-as-a-service