A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no Brasil em setembro de 2020, criando a figura do encarregado – em inglês, apelidado de Data Protection Officer (DPO). Sua definição foi trazida pela própria lei: é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Após sucessivas discussões e mudanças no decorrer da aprovação da lei, acabou sendo permitido estabelecer como encarregado um colaborador, uma pessoa jurídica ou até mesmo um terceiro, seja indivíduo ou pessoa jurídica, remunerado ou não.
O fato é que, se for feita a pergunta à esmagadora maioria da população brasileira sobre quem é o encarregado, as respostas endereçam o chefe ou até mesmo o trabalhador braçal, não havendo até o momento da elaboração desse artigo nenhuma campanha de conscientização sobre a importância da função desempenhada pelo encarregado.
Na União Europeia, por exemplo, o encarregado é mais bem regulamentado pela Lei Geral de Proteção de Dados Europeia (GDPR), com um escopo de atuação muito mais abrangente que apenas um canal de comunicação, como estabelecido na LGDP, começando pela sua independência. Por lá, o encarregado será sempre exigido por agentes que tratam dados pessoais diante das seguintes situações:
- Se for uma autoridade ou órgão público (exceto para tribunais atuando em sua função judicial).
- Se suas atividades principais requererem monitoramento regular e sistemático de indivíduos em grande escala.
- Se suas atividades principais consistirem em um tratamento em grande escala de dados pessoais sensíveis ou dados relativos a condenações criminais e infrações.
Enquanto na maioria dos países que possuem leis de proteção de dados o encarregado pode ser terceirizado – por exemplo, nos Emirados Árabes Unidos, Gana, Nova Zelândia, Nigéria, Reino Unido, Tailândia, Uruguai etc. – existem raras exceções, como o Egito, em que o encarregado somente pode ser um colaborador da própria pessoa jurídica.
É igualmente importante trazer a lume a experiência norte-americana, não com o California Consumer Privacy Act (CCPA), que não fez referência ao encarregado, mas sim com o Health Insurance Portability and Accountability Act (HIPAA). Sancionado em 1996, passou a exigir um profissional responsável por tratamento de dados pessoais, recebendo a alcunha de chief privacy officer (CPO), para as empresas operando no setor de saúde nos EUA. A experiência americana aparentemente é a mais completa na exigência do desempenho dessa função, superando até mesmo as exigências estabelecidas na GDPR, já que esse profissional deve ser responsável por:
- Criar um programa de privacidade estratégico e abrangente que define, mantém, desenvolve e implementa políticas e processos que permitem práticas de privacidade consistentes e eficazes que minimizam os riscos e garantem a confidencialidade dos dados pessoais, em papel e/ou digitais.
- Trabalhar com o gerente sênior de organização, segurança e compliance corporativo para estabelecer governança para o programa de privacidade.
- Desempenhar um papel de liderança no compliance da privacidade.
- Garantir que os formulários, políticas e procedimentos de privacidade estejam atualizados.
- Estabelecer um processo contínuo para rastrear, investigar e relatar acesso e divulgação inadequados de informações de dados pessoais.
- Realizar ou supervisionar a avaliação/análise, mitigação e correção de riscos de privacidade de informações iniciais e periódicas.
- Realizar atividades de monitoramento de compliance de privacidade em andamento, em coordenação com outras funções de compliance e avaliação operacional da empresa.
- Monitorar padrões de acesso inadequado e/ou divulgação de informações de saúde protegidas.
- Assumir uma função de liderança para garantir que a organização mantenha consentimentos adequados de privacidade e confidencialidade, formulários de autorização e avisos e materiais de informações que refletem a empresa atual e práticas e requisitos legais.
- Supervisionar, desenvolver e oferecer treinamento inicial e contínuo sobre privacidade aos colaboradores.
- Participar no desenvolvimento, implementação e monitoramento contínuo do compliance de todos os parceiros de negócios com os quais a empresa mantém contrato, para garantir que todos os requisitos e responsabilidades de privacidade sejam atendidos.
- Executar a avaliação, documentação e mitigação de riscos de violação necessárias. Trabalhar com Recursos Humanos para garantir a aplicação consistente de sanções por violações da privacidade.
- Gerenciar processos para investigar e agir sobre reclamações de incidentes de privacidade e segurança.
- Fomentar atividades para promover a conscientização da privacidade das informações na empresa.
- Manter o conhecimento atualizado a respeito das leis sobre privacidade.
- Gerenciar todos os processos de notificação de violações exigidos pelas autoridades.
Voltando a atenção para o Brasil, segundo a agenda para o biênio 2021-22 da Autoridade Nacional de Proteção de Dados (ANPD), mediante a Portaria 11, de 27 de janeiro de 2021, deveríamos ter novidades sobre a exigência do encarregado no primeiro semestre de 2021, com a regulamentação da proteção de dados e da privacidade para pequenas e médias empresas, startups e pessoas físicas que tratam dados pessoais com fins econômicos, possivelmente até com a dispensa da figura do encarregado, tendo em vista a incapacidade da maior parte dessas organizações em arcar com o custo de capacitação de um colaborador, a contratação de um especialista ou a terceirização de tal atribuição. Mas, infelizmente, nada ocorreu até o presente momento.
Por outro lado, ainda dentro da própria agenda para o biênio 2021-22 da ANPD, existe a previsão da regulamentação do encarregado para o primeiro semestre de 2022, quando se espera, entre outros, que se defina ou ao menos se discutam:
- Os critérios de exigibilidade e de dispensa do mesmo.
- As atribuições que se esperam do encarregado.
- Sua independência e potenciais conflitos de interesses.
- A regulamentação do alcance da responsabilidade sobre o mesmo em caso de incidentes envolvendo dados pessoais, com danos para os seus titulares, tratados pelo controlador ou operador que representa.
- Segundo o ônus da responsabilidade que lhe for atribuída, a obrigatoriedade de um seguro por parte do controlador ou operador.
- A pavimentação para a regulamentação da profissão, com os requisitos para a capacitação.