A inesperada entrada em vigor da Lei nº 13.709 de 2018, conforme alterada (conhecida como Lei Geral de Proteção de Dados ou LGPD) em 18 de setembro de 2020, antecipou diversas obrigações que as empresas esperavam cumprir apenas em 2021, dentre elas, a obrigação de indicar um encarregado pelo tratamento[1] de dados pessoais[2] (assim denominado pela LGPD), amplamente conhecido como Data Protection Officer – DPO, em razão da GDPR[3] (legislação europeia sobre proteção de dados pessoais).
A obrigatoriedade da nomeação do encarregado pode se justificar pelo papel central que lhe é legalmente atribuído, dividindo-se em três principais frentes: (a) perante os titulares de dados, aceitando as suas reclamações e solicitações, bem como estabelecendo meios eficazes de comunicação; (b) perante a autoridade nacional, devendo receber as suas comunicações e adotar as providências cabíveis; e (c) perante a própria empresa, devendo orientar os seus colaboradores sobre as normas de proteção de dados pessoais.
A LGPD, a princípio[4], obriga todas as empresas, independentemente de seu ramo de atuação, volume ou sensibilidade dos dados pessoais tratados, a indicar um encarregado, que: (a) pode ser tanto uma pessoa física como uma pessoa jurídica; (b) não deve necessariamente ser um administrador estatutário; (c) não tem obrigação de ser residente no Brasil; e (d) não necessariamente deve ser um colaborador interno – mas que, contudo, deverá ter acesso a todos os documentos e informações necessários para o desempenho de suas atribuições.
Apesar das diferenças existentes entre a GDPR e a LGPD no que se refere ao encarregado pelo tratamento de dados pessoais, um caso julgado pela autoridade nacional de proteção de dados da Bélgica chamou a atenção. Após um incidente de segurança em uma companhia de telefonia, a autoridade belga realizou investigação a respeito das práticas dessa companhia em matéria de governança e proteção de dados pessoais, e concluiu pela impossibilidade de cumulação das funções de encarregado pelo tratamento de dados pessoais e de diretor de compliance.
A autoridade belga considerou que as rotinas de compliance demandam tratamento recorrente de dados pessoais, direta ou indiretamente, pelo diretor de compliance, o que inviabilizaria o exercício independente das atividades de supervisão do tratamento de dados por esse mesmo indivíduo ao cumular também a função de encarregado (DPO, nos termos da GDPR), razão pela qual aplicou multa no valor de 50 mil euros à companhia de telefonia.
Vale dizer que, no Brasil, assim como na Europa, não há impedimento legal para a cumulação de funções do encarregado pelo tratamento de dados pessoais com outras dentro da mesma empresa, o que, isoladamente, contrapõe a decisão da autoridade belga; contudo, para entender melhor o caso e a decisão de referida autoridade, é necessário compreender o propósito e as funções do encarregado.
Para isso, destaca-se que o entendimento majoritariamente adotado é de que o conflito de interesses que pode decorrer da cumulação de funções do encarregado é de natureza material e não formal, ou seja, em efeitos práticos, é permitido que o encarregado cumule funções, desde que isso não prejudique a sua autonomia ou independência, tampouco o desincentive na efetiva fiscalização do tratamento de dados pela empresa. Na prática, foi isso o que a autoridade belga analisou e o que se espera que também seja objeto de tutela pela autoridade brasileira.
Assim, apesar de não existir impedimento legal para que o encarregado cumule outras funções, as empresas devem garantir que ele seja dotado de autonomia e independência e que não exerça outras funções que possam conflitar com as suas atividades como encarregado pelo tratamento de dados pessoais.
Deste modo, fica claro que a LGPD trouxe com ela também pontos de atenção do ponto de vista organizacional e de governança das empresas, que devem estruturar seus programas de governança contemplando essa nova realidade em proteção de dados.
O que se tem considerado, atualmente, como melhores práticas em governança de proteção de dados é a criação de novos órgãos autônomos e independentes aos que existiam previamente nas empresas, e que busquem, efetivamente, atender às determinações legais e da autoridade nacional. As primeiras estruturas que têm sido adotadas no Brasil nesse sentido envolvem a criação de comitê híbrido com vários representantes da empresa, ou por vezes comitês múltiplos e independentes entre si, com competências diferentes e a possibilidade de verificação recíproca de suas atuações.
Como se vê, o advento da LGPD traz novos desafios e camadas de complexidade para a governança das empresas, incorporando mais um assunto e mais uma estrutura de governança às demais já existentes em nosso ordenamento, uma vez mais suscitando discussões a respeito de independência e conflitos de interesse na dinâmica interna das empresas.
Por outro lado, é evidente que nem todas as empresas possuem estrutura ou capacidade financeira para criar novos órgãos autônomos e independentes, como sugerem as melhores práticas, e que, em razão disso, o encarregado terminará por cumular funções ou será terceirizado. Mesmo nestes cenários, será essencial que os pontos de atenção indicados acima sejam observados e que as empresas possuam estrutura capaz de demonstrar os mecanismos adotados para implementar a cultura organizacional necessária para cumprimento das exigências legais.
[1] “Art. 5º, X, LGPD: tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
[2] “Art. 5º, I, LGPD: dado pessoal: informação relacionada a pessoa natural identificada ou identificável”.
[3] Regulation (EU) 2016/676 – General Data Protection Regulation.
[4] A Autoridade Nacional de Proteção de Dados (ANPD) poderá estabelecer casos em que a indicação do encarregado é dispensada (art. 41, §3º, LGPD).