O Papel do Encarregado de Dados (LGPD) no Brasil: Uma perspectiva Jurídica

O Papel do Encarregado de Dados (LGPD) no Brasil: Uma perspectiva Jurídica


RESUMO

Encarregado de Dados na LGPD: Um Escudo Para as Empresas Contra Multas, Vazamentos de dados, melhoria na segurança cibernética e Danos à Reputação

E o Encarregado de Dados é o seu escudo contra multas milionárias, vazamentos vexatórios e danos à reputação que podem colocar tudo em risco. A LGPD é regulamentação brasileira voltada a proteção e privacidade de dados, estamos falando de uma das mais importantes iniciativas legislativas nesse sentido e é uma lei séria com consequências reais para as empresas que a descumprem. Nessa esteira a ocorrência de um ataque cibernético ou uma multa milionária representam a fragilidade da Governança (compliance digital) da empresa no cumprimento de suas obrigações legais.

Palavras Chaves

LGPD, segurança cibernética, encarregado de dados, Resolução Normativa nº 18 da ANPD, DPO, direitos dos titulares, responsabilidade das empresas

Introdução

Com a promulgação da Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018, o Brasil deu um passo significativo para garantir a privacidade e a proteção dos dados pessoais. Um dos pilares dessa legislação é a figura do Encarregado de Proteção de Dados, também conhecido como Data Protection Officer (DPO). Este artigo visa explorar o conceito legal do encarregado de dados, o perfil desejado, os requisitos para essa função, suas responsabilidades, limitações e os benefícios da sua nomeação para as empresas.

A Sinfonia da Proteção de Dados: Titulares, Empresas e Encarregados em Harmonia

A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde 2020, rege a orquestra da proteção de dados no Brasil. Nessa sinfonia complexa, cada ator tem seu papel fundamental para garantir a segurança e a privacidade das informações.

No centro do palco, os titulares dos dados, donos da melodia de suas informações pessoais, detêm direitos essenciais, como o acesso aos seus dados, a correção de informações incorretas, a portabilidade para outros serviços e a exclusão em determinadas situações. (Art. 18, LGPD)

As empresas, por sua vez, assumem a responsabilidade de reger essa sinfonia com maestria, implementando medidas robustas de segurança e proteção dos dados. Isso inclui a definição de finalidades claras para o tratamento dos dados, a adoção de medidas técnicas e organizativas adequadas e a garantia da transparência em todas as etapas do processo. (Art. 5º, LGPD)

Nesse concerto, o encarregado de dados surge como maestro, conduzindo a orquestra e garantindo a harmonia entre os titulares e as empresas. Ele atua como canal de comunicação, recebendo reclamações e solicitações dos titulares e encaminhando-as à empresa de forma eficiente. (Art. 41, LGPD)

Sua função também inclui monitorar a conformidade com a LGPD, orientar e capacitar os funcionários sobre proteção de dados e colaborar com a Autoridade Nacional de Proteção de Dados (ANPD) em suas investigações. (Art. 42, LGPD)

A doutrina, como a obra de Ronaldo Porto Macedo, reforça a importância do encarregado de dados como "ponte entre o controlador e os titulares". (MACEDO, 2021). Sua atuação garante que os direitos dos titulares sejam respeitados e que as empresas cumpram suas obrigações, evitando assim a discórdia e as sanções previstas na LGPD. (Art. 52, LGPD)

Conceito Legal do Encarregado de Dados

O encarregado de dados é definido no artigo 5º, inciso VIII, da LGPD como a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)". Esta função é essencial para assegurar a conformidade das empresas com a legislação de proteção de dados e para mediar as demandas dos titulares de dados e a ANPD.

A figura do Encarregado de Dados é regulamentada pela LGPD, especificamente no artigo 41, que dispõe:

·         "O controlador deverá indicar encarregado pelo tratamento de dados pessoais."

O Encarregado de Dados atua como um intermediário entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), garantindo a conformidade das práticas de tratamento de dados com a legislação vigente.

Classificação Brasileira de Ocupações (CBO) do Encarregado de Dados

Recentemente, o Ministério do Trabalho incluiu a ocupação de encarregado de proteção de dados na Classificação Brasileira de Ocupações (CBO) sob o código 1425-50. Esta medida reflete a importância e a especificidade da função, destacando a necessidade de profissionais capacitados para lidar com as complexidades da LGPD.

A Resolução Normativa nº 18 da ANPD (Autoridade Nacional de Proteção de Dados)

A Resolução Normativa nº 18, emitida pela ANPD, detalha as atribuições e qualificações necessárias para o encarregado de dados. Entre outras disposições, a resolução estabelece que o encarregado deve ter conhecimento jurídico-regulatório e ser capaz de aconselhar o controlador sobre as suas obrigações conforme a LGPD.

Além disso, a resolução reforça a importância do encarregado em processos de avaliação de impacto à proteção de dados pessoais e na resposta a incidentes de segurança.

Ademais, a Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei federal nº 13.709/2018, consagrou o encarregado de dados como figura fundamental para a efetiva proteção dos dados pessoais no Brasil. Em consonância com a LGPD, a respectiva Resolução nº 18 emitida pela ANPD, que foi recentemente publicada em 16 de julho de 2024, trouxe inovações significativas para a atividade desse profissional, reforçando sua autonomia, responsabilidades e importância no contexto da proteção de dados.

Autonomia e Imparcialidade:

  • Art. 5º, § 1º da Resolução nº 18 da ANPD: O encarregado deve atuar com independência e imparcialidade, sem acumular funções que gerem conflito de interesse.
  • Art. 5º, § 2º da Resolução nº 18 da ANPD: O agente de tratamento deve garantir o livre acesso do encarregado às áreas relevantes da organização e aos dados necessários para o exercício de suas atribuições.

Atribuições e Responsabilidades Ampliadas:

  • Art. 6º da Resolução nº 18 da ANPD: As atribuições mínimas do encarregado foram ampliadas e detalhadas, incluindo: Receber e responder reclamações e comunicações dos titulares de dados; Monitorar a conformidade com a LGPD e outras normas de proteção de dados; Orientar e capacitar os funcionários sobre proteção de dados; Cooperar com a ANPD em suas investigações.
  • Art. 7º da Resolução nº 18 da ANPD: A resolução estabelece a responsabilidade solidária do agente de tratamento e do encarregado pelos danos causados pelo tratamento inadequado de dados pessoais.

Requisitos Mínimos de Qualificação:

  • Art. 9º da Resolução nº 18 da ANPD: A resolução define requisitos mínimos de conhecimento que o encarregado deve possuir, como: Noções básicas de direito, proteção de dados e segurança da informação; Conhecimento da LGPD e da Resolução nº 18 da ANPD; Experiência em áreas relevantes, como TI, auditoria ou compliance.

Formalização da Nomeação e Publicização:

  • Art. 10º da Resolução nº 18 da ANPD: A nomeação do encarregado deve ser feita por meio de ato escrito, público e motivado.
  • Art. 11º da Resolução nº 18 da ANPD: As informações de contato do encarregado devem ser divulgadas e mantidas atualizadas no site do agente de tratamento ou por outros meios de comunicação.

Melhores Condições de Trabalho:

  • Art. 12º da Resolução nº 18 da ANPD: O agente de tratamento deve fornecer ao encarregado os recursos humanos, técnicos e administrativos necessários para o exercício de suas funções.
  • Isso inclui a disponibilização de tempo e treinamento adequados, além de acesso a ferramentas e sistemas necessários para o seu trabalho.

Outras Inovações Relevantes:

  • Art. 13º da Resolução nº 18 da ANPD: A resolução prevê a possibilidade de um mesmo encarregado atuar para diversos agentes de tratamento, desde que não haja conflito de interesse.
  • Art. 14º da Resolução nº 18 da ANPD: A resolução estabelece prazos para a nomeação do encarregado e para a atualização de suas informações de contato.

A Resolução nº 18 da ANPD consolida o papel do encarregado de dados como peça fundamental na governança de proteção de dados das organizações. As novas regras garantem maior autonomia, clareza nas atribuições e melhores condições de trabalho para o encarregado, contribuindo para a efetiva proteção dos dados pessoais e o cumprimento da LGPD.

Funções e Responsabilidades do Encarregado de Dados

O artigo 41 da LGPD descreve as principais atribuições do encarregado de dados, incluindo:

  1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
  2. Receber comunicações da ANPD e adotar providências.
  3. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
  4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Perfil Desejado para o Encarregado de Dados

O perfil ideal para o encarregado de dados deve combinar conhecimentos técnicos, legais e de gestão. As principais competências incluem:

  • Conhecimento Jurídico e Técnico: Entendimento profundo da LGPD, outras legislações correlatas e boas práticas de proteção de dados.
  • Habilidades de Comunicação: Capacidade de interagir eficazmente com titulares de dados, a ANPD e diferentes departamentos dentro da organização.
  • Competências de Gestão: Habilidade para implementar e monitorar políticas de proteção de dados e realizar auditorias internas.

Limites Jurídicos da Atividade do Encarregado de Dados

Embora o encarregado desempenhe um papel crucial na proteção de dados, suas atividades são limitadas pela necessidade de agir em conformidade com as diretrizes do controlador e a legislação aplicável. O encarregado não deve tomar decisões sobre o tratamento de dados de forma autônoma, mas sim aconselhar e orientar o controlador e o operador para assegurar a conformidade com a LGPD.

A recente Resolução Normativa nº 18 da ANPD reforça esses limites ao estabelecer diretrizes específicas para a atuação do Encarregado. Entre os principais pontos, destaca-se:

·         Autonomia Funcional: O Encarregado deve atuar de maneira independente, sem sofrer interferências na execução de suas funções.

·         Confidencialidade: Manter a confidencialidade das informações acessadas no exercício de suas funções.

·         Conflito de Interesses: Evitar situações que possam gerar conflito de interesses, garantindo a imparcialidade na tomada de decisões.

Dispositivos Legais e Aspectos da LGPD

A LGPD estabelece princípios fundamentais para o tratamento de dados, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º).

Além disso, os direitos dos titulares de dados (art. 18) e as bases legais para o tratamento de dados (art. 7º) são elementos cruciais para a conformidade legal.

Responsabilidades das Empresas em Nomear o Encarregado

A nomeação do encarregado é obrigatória para os controladores e operadores, conforme o art. 41 da LGPD. A ausência de um encarregado pode expor a empresa a riscos legais e reputacionais, além de sanções pela ANPD.

A nomeação adequada garante que a empresa tenha um ponto focal para a gestão de dados pessoais, promovendo a conformidade e a confiança dos titulares.

 

Riscos da Não Nomeação

A não nomeação de um encarregado de dados pode resultar em multas, restrições e outras sanções administrativas previstas na LGPD, conforme os arts. 52 e 53.

Além disso, a falta de um profissional dedicado à proteção de dados pode aumentar a vulnerabilidade da empresa a incidentes de segurança e violações de dados, afetando negativamente sua reputação e operações. Diante disso tudo, a inexistência de nomeação do encarregado pode gerar diversos riscos à organização, tanto do ponto de vista da segurança cibernética quanto da proteção de dados pessoais.

1. Aumento da Vulnerabilidade a Ataques Cibernéticos:

  • A ausência de um encarregado de dados nomeado formalmente conforme consta na legislação, dificulta a implementação de medidas eficazes de segurança da informação, entre elas principalmente: Definição de políticas e procedimentos de segurança: O encarregado de dados é responsável por assessorar a empresa na propositura da criação e implementação de políticas e procedimentos minimamente adequados para a proteção dos dados pessoais protegidos pela LGPD, contra acessos não autorizados, uso indevido, modificações, destruição ou perda. Implementação de medidas técnicas e organizativas: O encarregado auxilia na escolha e implementação de medidas técnicas e organizativas adequadas ao nível de risco do tratamento de dados, como firewalls, criptografia, controle de acesso e treinamento de funcionários. Monitoramento e avaliação da segurança da informação: O encarregado monitora a efetividade das medidas de segurança implementadas e identifica falhas ou vulnerabilidades que precisem ser corrigidas.
  • Sem essas medidas, as empresas ficam mais suscetíveis a ataques cibernéticos, como: Vazamentos de dados: Os dados pessoais dos clientes e colaboradores podem ser vazados para a internet, causando danos à reputação da empresa, multas milionárias e até mesmo processos judiciais. Ataques de ransomware: Hackers podem criptografar os dados da empresa e exigir o pagamento de um resgate para liberá-los, causando prejuízos financeiros e operacionais. Fraudes de identidade: Os dados pessoais podem ser utilizados para realizar fraudes, como compras online ou abertura de contas bancárias em nome da vítima. Paradas não programadas: A inexistência de manutenções programadas ou tentativas de acesso não autorizado imediatamente ao ambiente operacional, tecnológico e sistêmico da empresa impacta diretamente na segurança digital dos dados e contraria direitos previstos na LGPD.

2. Dificuldade na Conformidade com a LGPD:

  • O encarregado de dados é responsável por auxiliar a empresa na adequação à LGPD, o que inclui: Mapeamento dos dados pessoais tratados: O encarregado auxilia na identificação e mapeamento de todos os dados pessoais que a empresa coleta, armazena e utiliza. Implementação dos princípios da proteção de dados: O encarregado orienta a empresa na aplicação dos princípios da LGPD, como a finalidade específica, a necessidade, a adequação, a transparência, a segurança, a confidencialidade e a não discriminação. Atendimento aos direitos dos titulares de dados: O encarregado é o canal de comunicação entre a empresa e os titulares de dados, responsável por receber e responder às solicitações de acesso, retificação, apagamento, portabilidade e oposição ao tratamento dos dados.
  • Sem o encarregado de dados, a empresa pode ter dificuldades em: Identificar e cumprir todas as suas obrigações legais: A LGPD estabelece diversas obrigações para as empresas que tratam dados pessoais, e o encarregado é fundamental para auxiliar na sua compreensão e cumprimento. Responder às solicitações dos titulares de dados de forma eficaz e tempestiva: O atendimento inadequado às solicitações dos titulares de dados pode gerar multas e outros problemas para a empresa. Demonstrar à ANPD que está cumprindo a LGPD: Em caso de fiscalização, a empresa precisa ser capaz de demonstrar que está tomando as medidas adequadas para proteger os dados pessoais, e o encarregado de dados é peça fundamental nesse processo.

3. Danos à Reputação e Perda de Clientes:

Além das sanções administrativas, a não nomeação do Encarregado de Dados pode acarretar danos à reputação da empresa, impactando negativamente a confiança dos clientes, parceiros e investidores. A imagem de uma empresa que não se preocupa com a proteção de dados pode levar à perda de negócios, à diminuição do valor da marca e à dificuldade em atrair novos talentos.

Riscos jurídicos também podem surgir, com a possibilidade de ações judiciais movidas por titulares de dados lesados. Em caso de vazamento de dados ou uso indevido de informações pessoais, os titulares podem buscar reparação pelos danos sofridos, gerando custos adicionais para a empresa com processos e indenizações. Incluindo:

  • O vazamento de dados, a falta de conformidade com a LGPD e outros problemas relacionados à segurança da informação (segurança cibernética, incidentes de segurança) podem causar danos à reputação da empresa, levando à perda de clientes, parceiros e investimentos.
  • Consumidores e empresas estão cada vez mais conscientes da importância da proteção de dados pessoais, e escolherão fazer negócios com empresas que demonstrem compromisso com a segurança e a privacidade (compliance digital ou em compliance com a LGPD).

Responsabilidades das Empresas e a essencialidade do Encarregado de Dados na LGPD

A LGPD impõe diversas responsabilidades às empresas em relação à proteção de dados pessoais. Entre elas, destaca-se a obrigação de nomear um Encarregado de Dados, conforme artigo 41 da LGPD.

Consequências da Não Nomeação do Encarregado de Dados:

A ausência de um Encarregado de Dados configura infração administrativa, sujeitando a empresa a diversas sanções, conforme o art. 52 da LGPD:

A não nomeação de um Encarregado pode acarretar diversas consequências, incluindo:

·         Multa: Multas de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. A ANPD considera diversos fatores na aplicação da multa, como a gravidade da infração, o histórico da empresa e o porte do negócio.

·         Advertência: A ANPD pode advertir a empresa, concedendo prazo para que regularize a situação.

·         Suspensão parcial ou total das atividades de tratamento de dados: Em casos graves, a ANPD pode suspender as atividades de tratamento de dados da empresa, impactando diretamente seu funcionamento e gerando prejuízos financeiros.

·         Bloqueio dos dados pessoais (bases de dados, documentos físicos, problemas com integrações de dados em terceiros e etc): Os dados pessoais podem ser bloqueados, impedindo seu uso para as finalidades previstas pela empresa.

·         Eliminação dos dados pessoais: Em casos extremos, a ANPD pode determinar a eliminação dos dados pessoais, gerando custos adicionais para a empresa e impactando a qualidade dos serviços prestados.

Conclusão

A nomeação de um encarregado de dados é um passo essencial para a conformidade com a LGPD. Este profissional atua como um mediador entre a empresa, os titulares de dados e a ANPD, garantindo que as práticas de tratamento de dados estejam alinhadas com os princípios legais e os direitos dos titulares. A correta implementação dessa função pode trazer benefícios significativos para as empresas, incluindo a mitigação de riscos legais e o fortalecimento da confiança do público.

A nomeação de um Encarregado de Dados de acordo com o que prevê a legislação vigente (LGPD e normas da ANPD), não é apenas uma obrigação legal, mas sim um investimento fundamental na proteção dos dados pessoais, na conformidade com a LGPD e na prevenção de sanções e riscos jurídicos. Este profissional atua como um mediador entre a empresa, os titulares de dados e a ANPD, garantindo que as práticas de tratamento de dados estejam alinhadas com os princípios legais e os direitos dos titulares. A correta implementação dessa função pode trazer benefícios significativos para as empresas, incluindo a mitigação de riscos legais e o fortalecimento da confiança do público. Ao investir em um profissional qualificado e experiente, as empresas demonstram seu compromisso com a privacidade dos seus clientes e colaboradores, fortalecendo sua reputação e construindo um ambiente de confiança e segurança.

Em resumo, a LGPD estabelece um delicado equilíbrio entre os direitos dos titulares, as obrigações das empresas e o papel fundamental do encarregado de dados. Essa sinfonia da proteção de dados, quando tocada em harmonia, garante a segurança e a privacidade das informações pessoais, beneficiando todos os envolvidos.

 

Referências:

  • Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
  • Resolução Normativa nº 18 da ANPD;
  • MACEDO, Ronaldo Porto. Direito à proteção de dados pessoais. 2. ed. Rio de Janeiro: Forense, 2021.

 

 

Claudio Luciano Valença Motta

Diretor da Associação Comercial e Empresarial de Minas - ACMinas e Presidente do Conselho de Relações Internacionais da entidade

5 m

Excelente artigo, Estéfano. Consistente e objetivo. Parabéns!

Hilton Junior - DPO Saudável

•Consultor jornada LGPD •Citizen Development •Membro IBESG ICCB G20 ANADD APDADOS •Parceiro NIC.br IBGC Mov.Nac.ODS Slowphone •Certificações DPO,ISO 9001 e 27001,Green Belt,Lean 6σ,Scrum,Kanban,Dataviz,BI,ESG,GreenSkills

5 m

Extremamente bem fundamentado e comentado.

Entre para ver ou adicionar um comentário

Outros artigos de Estéfano Fonseca

Outras pessoas também visualizaram

Conferir tópicos