O Papel do Encarregado de Dados (LGPD) no Brasil: Uma perspectiva Jurídica
RESUMO
Encarregado de Dados na LGPD: Um Escudo Para as Empresas Contra Multas, Vazamentos de dados, melhoria na segurança cibernética e Danos à Reputação
E o Encarregado de Dados é o seu escudo contra multas milionárias, vazamentos vexatórios e danos à reputação que podem colocar tudo em risco. A LGPD é regulamentação brasileira voltada a proteção e privacidade de dados, estamos falando de uma das mais importantes iniciativas legislativas nesse sentido e é uma lei séria com consequências reais para as empresas que a descumprem. Nessa esteira a ocorrência de um ataque cibernético ou uma multa milionária representam a fragilidade da Governança (compliance digital) da empresa no cumprimento de suas obrigações legais.
Palavras Chaves
LGPD, segurança cibernética, encarregado de dados, Resolução Normativa nº 18 da ANPD, DPO, direitos dos titulares, responsabilidade das empresas
Introdução
Com a promulgação da Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018, o Brasil deu um passo significativo para garantir a privacidade e a proteção dos dados pessoais. Um dos pilares dessa legislação é a figura do Encarregado de Proteção de Dados, também conhecido como Data Protection Officer (DPO). Este artigo visa explorar o conceito legal do encarregado de dados, o perfil desejado, os requisitos para essa função, suas responsabilidades, limitações e os benefícios da sua nomeação para as empresas.
A Sinfonia da Proteção de Dados: Titulares, Empresas e Encarregados em Harmonia
A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde 2020, rege a orquestra da proteção de dados no Brasil. Nessa sinfonia complexa, cada ator tem seu papel fundamental para garantir a segurança e a privacidade das informações.
No centro do palco, os titulares dos dados, donos da melodia de suas informações pessoais, detêm direitos essenciais, como o acesso aos seus dados, a correção de informações incorretas, a portabilidade para outros serviços e a exclusão em determinadas situações. (Art. 18, LGPD)
As empresas, por sua vez, assumem a responsabilidade de reger essa sinfonia com maestria, implementando medidas robustas de segurança e proteção dos dados. Isso inclui a definição de finalidades claras para o tratamento dos dados, a adoção de medidas técnicas e organizativas adequadas e a garantia da transparência em todas as etapas do processo. (Art. 5º, LGPD)
Nesse concerto, o encarregado de dados surge como maestro, conduzindo a orquestra e garantindo a harmonia entre os titulares e as empresas. Ele atua como canal de comunicação, recebendo reclamações e solicitações dos titulares e encaminhando-as à empresa de forma eficiente. (Art. 41, LGPD)
Sua função também inclui monitorar a conformidade com a LGPD, orientar e capacitar os funcionários sobre proteção de dados e colaborar com a Autoridade Nacional de Proteção de Dados (ANPD) em suas investigações. (Art. 42, LGPD)
A doutrina, como a obra de Ronaldo Porto Macedo, reforça a importância do encarregado de dados como "ponte entre o controlador e os titulares". (MACEDO, 2021). Sua atuação garante que os direitos dos titulares sejam respeitados e que as empresas cumpram suas obrigações, evitando assim a discórdia e as sanções previstas na LGPD. (Art. 52, LGPD)
Conceito Legal do Encarregado de Dados
O encarregado de dados é definido no artigo 5º, inciso VIII, da LGPD como a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)". Esta função é essencial para assegurar a conformidade das empresas com a legislação de proteção de dados e para mediar as demandas dos titulares de dados e a ANPD.
A figura do Encarregado de Dados é regulamentada pela LGPD, especificamente no artigo 41, que dispõe:
· "O controlador deverá indicar encarregado pelo tratamento de dados pessoais."
O Encarregado de Dados atua como um intermediário entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), garantindo a conformidade das práticas de tratamento de dados com a legislação vigente.
Classificação Brasileira de Ocupações (CBO) do Encarregado de Dados
Recentemente, o Ministério do Trabalho incluiu a ocupação de encarregado de proteção de dados na Classificação Brasileira de Ocupações (CBO) sob o código 1425-50. Esta medida reflete a importância e a especificidade da função, destacando a necessidade de profissionais capacitados para lidar com as complexidades da LGPD.
A Resolução Normativa nº 18 da ANPD (Autoridade Nacional de Proteção de Dados)
A Resolução Normativa nº 18, emitida pela ANPD, detalha as atribuições e qualificações necessárias para o encarregado de dados. Entre outras disposições, a resolução estabelece que o encarregado deve ter conhecimento jurídico-regulatório e ser capaz de aconselhar o controlador sobre as suas obrigações conforme a LGPD.
Além disso, a resolução reforça a importância do encarregado em processos de avaliação de impacto à proteção de dados pessoais e na resposta a incidentes de segurança.
Ademais, a Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei federal nº 13.709/2018, consagrou o encarregado de dados como figura fundamental para a efetiva proteção dos dados pessoais no Brasil. Em consonância com a LGPD, a respectiva Resolução nº 18 emitida pela ANPD, que foi recentemente publicada em 16 de julho de 2024, trouxe inovações significativas para a atividade desse profissional, reforçando sua autonomia, responsabilidades e importância no contexto da proteção de dados.
Autonomia e Imparcialidade:
Atribuições e Responsabilidades Ampliadas:
Requisitos Mínimos de Qualificação:
Formalização da Nomeação e Publicização:
Melhores Condições de Trabalho:
Outras Inovações Relevantes:
A Resolução nº 18 da ANPD consolida o papel do encarregado de dados como peça fundamental na governança de proteção de dados das organizações. As novas regras garantem maior autonomia, clareza nas atribuições e melhores condições de trabalho para o encarregado, contribuindo para a efetiva proteção dos dados pessoais e o cumprimento da LGPD.
Funções e Responsabilidades do Encarregado de Dados
O artigo 41 da LGPD descreve as principais atribuições do encarregado de dados, incluindo:
Perfil Desejado para o Encarregado de Dados
O perfil ideal para o encarregado de dados deve combinar conhecimentos técnicos, legais e de gestão. As principais competências incluem:
Recomendados pelo LinkedIn
Limites Jurídicos da Atividade do Encarregado de Dados
Embora o encarregado desempenhe um papel crucial na proteção de dados, suas atividades são limitadas pela necessidade de agir em conformidade com as diretrizes do controlador e a legislação aplicável. O encarregado não deve tomar decisões sobre o tratamento de dados de forma autônoma, mas sim aconselhar e orientar o controlador e o operador para assegurar a conformidade com a LGPD.
A recente Resolução Normativa nº 18 da ANPD reforça esses limites ao estabelecer diretrizes específicas para a atuação do Encarregado. Entre os principais pontos, destaca-se:
· Autonomia Funcional: O Encarregado deve atuar de maneira independente, sem sofrer interferências na execução de suas funções.
· Confidencialidade: Manter a confidencialidade das informações acessadas no exercício de suas funções.
· Conflito de Interesses: Evitar situações que possam gerar conflito de interesses, garantindo a imparcialidade na tomada de decisões.
Dispositivos Legais e Aspectos da LGPD
A LGPD estabelece princípios fundamentais para o tratamento de dados, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º).
Além disso, os direitos dos titulares de dados (art. 18) e as bases legais para o tratamento de dados (art. 7º) são elementos cruciais para a conformidade legal.
Responsabilidades das Empresas em Nomear o Encarregado
A nomeação do encarregado é obrigatória para os controladores e operadores, conforme o art. 41 da LGPD. A ausência de um encarregado pode expor a empresa a riscos legais e reputacionais, além de sanções pela ANPD.
A nomeação adequada garante que a empresa tenha um ponto focal para a gestão de dados pessoais, promovendo a conformidade e a confiança dos titulares.
Riscos da Não Nomeação
A não nomeação de um encarregado de dados pode resultar em multas, restrições e outras sanções administrativas previstas na LGPD, conforme os arts. 52 e 53.
Além disso, a falta de um profissional dedicado à proteção de dados pode aumentar a vulnerabilidade da empresa a incidentes de segurança e violações de dados, afetando negativamente sua reputação e operações. Diante disso tudo, a inexistência de nomeação do encarregado pode gerar diversos riscos à organização, tanto do ponto de vista da segurança cibernética quanto da proteção de dados pessoais.
1. Aumento da Vulnerabilidade a Ataques Cibernéticos:
2. Dificuldade na Conformidade com a LGPD:
3. Danos à Reputação e Perda de Clientes:
Além das sanções administrativas, a não nomeação do Encarregado de Dados pode acarretar danos à reputação da empresa, impactando negativamente a confiança dos clientes, parceiros e investidores. A imagem de uma empresa que não se preocupa com a proteção de dados pode levar à perda de negócios, à diminuição do valor da marca e à dificuldade em atrair novos talentos.
Riscos jurídicos também podem surgir, com a possibilidade de ações judiciais movidas por titulares de dados lesados. Em caso de vazamento de dados ou uso indevido de informações pessoais, os titulares podem buscar reparação pelos danos sofridos, gerando custos adicionais para a empresa com processos e indenizações. Incluindo:
Responsabilidades das Empresas e a essencialidade do Encarregado de Dados na LGPD
A LGPD impõe diversas responsabilidades às empresas em relação à proteção de dados pessoais. Entre elas, destaca-se a obrigação de nomear um Encarregado de Dados, conforme artigo 41 da LGPD.
Consequências da Não Nomeação do Encarregado de Dados:
A ausência de um Encarregado de Dados configura infração administrativa, sujeitando a empresa a diversas sanções, conforme o art. 52 da LGPD:
A não nomeação de um Encarregado pode acarretar diversas consequências, incluindo:
· Multa: Multas de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. A ANPD considera diversos fatores na aplicação da multa, como a gravidade da infração, o histórico da empresa e o porte do negócio.
· Advertência: A ANPD pode advertir a empresa, concedendo prazo para que regularize a situação.
· Suspensão parcial ou total das atividades de tratamento de dados: Em casos graves, a ANPD pode suspender as atividades de tratamento de dados da empresa, impactando diretamente seu funcionamento e gerando prejuízos financeiros.
· Bloqueio dos dados pessoais (bases de dados, documentos físicos, problemas com integrações de dados em terceiros e etc): Os dados pessoais podem ser bloqueados, impedindo seu uso para as finalidades previstas pela empresa.
· Eliminação dos dados pessoais: Em casos extremos, a ANPD pode determinar a eliminação dos dados pessoais, gerando custos adicionais para a empresa e impactando a qualidade dos serviços prestados.
Conclusão
A nomeação de um encarregado de dados é um passo essencial para a conformidade com a LGPD. Este profissional atua como um mediador entre a empresa, os titulares de dados e a ANPD, garantindo que as práticas de tratamento de dados estejam alinhadas com os princípios legais e os direitos dos titulares. A correta implementação dessa função pode trazer benefícios significativos para as empresas, incluindo a mitigação de riscos legais e o fortalecimento da confiança do público.
A nomeação de um Encarregado de Dados de acordo com o que prevê a legislação vigente (LGPD e normas da ANPD), não é apenas uma obrigação legal, mas sim um investimento fundamental na proteção dos dados pessoais, na conformidade com a LGPD e na prevenção de sanções e riscos jurídicos. Este profissional atua como um mediador entre a empresa, os titulares de dados e a ANPD, garantindo que as práticas de tratamento de dados estejam alinhadas com os princípios legais e os direitos dos titulares. A correta implementação dessa função pode trazer benefícios significativos para as empresas, incluindo a mitigação de riscos legais e o fortalecimento da confiança do público. Ao investir em um profissional qualificado e experiente, as empresas demonstram seu compromisso com a privacidade dos seus clientes e colaboradores, fortalecendo sua reputação e construindo um ambiente de confiança e segurança.
Em resumo, a LGPD estabelece um delicado equilíbrio entre os direitos dos titulares, as obrigações das empresas e o papel fundamental do encarregado de dados. Essa sinfonia da proteção de dados, quando tocada em harmonia, garante a segurança e a privacidade das informações pessoais, beneficiando todos os envolvidos.
Referências:
Diretor da Associação Comercial e Empresarial de Minas - ACMinas e Presidente do Conselho de Relações Internacionais da entidade
5 mExcelente artigo, Estéfano. Consistente e objetivo. Parabéns!
•Consultor jornada LGPD •Citizen Development •Membro IBESG ICCB G20 ANADD APDADOS •Parceiro NIC.br IBGC Mov.Nac.ODS Slowphone •Certificações DPO,ISO 9001 e 27001,Green Belt,Lean 6σ,Scrum,Kanban,Dataviz,BI,ESG,GreenSkills
5 mExtremamente bem fundamentado e comentado.