A proposta técnica subsidia a tomada de decisão sobre as normas complementares que serão utilizadas pela Autoridade Nacional de Proteção de Dados (ANPD) e direciona a atuação prática do Encarregado pelo Tratamento de Dados Pessoais (DPO), operacionalizando o Art. 5, III e Art. 41 da Lei Geral de Proteção de Dados Pessoais (LGPD).
As contribuições aqui descritas, baseiam-se em definições observadas no GDPR (Europa), CCPA (EUA), PIPEDA (Canadá), POPIA (África do Sul), LFPDP (México), DPA (Filipinas), PDPA (Cingapura), PIPA (Coreia do Sul) entre outros regulamentos e na consulta pública realizada em Março de 2022 pela Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), direcionada a mais de 30 mil profissionais ligados direta ou indiretamente às questões de Privacidade e da Lei Geral de Proteção de Dados (LGPD).
Contribuições para normas complementares sobre a definição e as atribuições do encarregado (Art. 41 §3o – LGPD, 2018)
Referencial Teórico
A Lei 13.709/2018, Lei Geral de Proteção de Dados (LGPD), positiva o Encarregado pelo Tratamento de Dados Pessoais, e orienta a necessidade de normas complementares para sua atuação, nos seguintes dispositivos:
Art. 5, VIII – Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1o A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sitio eletrônico do controlador.
§ 2o As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou
estabelecidas em normas complementares.
§ 3o A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Leis e/ou regulamentos de privacidade e proteção de dados em vigor em outros países já abordam a atuação prática do Encarregado pelo Tratamento de Dados Pessoais, uma vez que este assunto encontra-se regulamentado. Destacam-se:
a) África do Sul: Protection Of Personal Information (POPIA), 2013.
b) Coréia do Sul: Personal Data Protection Law (PIPA), 2011.
c) Europa: General Data Protection Regulation (GDPR), 2016
d) Tailândia: Personal Data Protection Act (PDPA), 2019
e) Uruguai:LeyDeProteccionDeDatosPersonales(LPDP),2008
O uso comparado e analítico por bibliometria dessas leis internacionais similares à LGPD, são apresentados a seguir na Metodologia Científica que embasou essa proposta técnica.
Metodologia Científica
Para coleta e análise dos dados foram utilizados 3 (três) métodos científicos a saber:
a) Direito Comparado – método dedicado ao estudo de diferentes leis, devido o seu aspecto social; a partir das semelhanças orgânicas de determinados grupos, a unidade das estruturas e práticas jurídicas reveladas pelo estudo isolado das instituições; a apresentação de um ou mais tipos de legislação deriva dessa crítica comparativa e visa a direção progressiva das normas legais, dependendo das formas tradicionais e da diversidade histórica. (SALEILLES, 1910). Uma vez que existem semelhanças entre os objetivos e componentes das diversas leis de privacidade ao redor do mundo, o método do Direito Comparado não pode ser subtraído para obtenção das lições aprendidas e ganho de produtividade durante a tomada de subsídios da LGPD para o mesmo tema, uma vez que o assunto já protagonizou discussões internacionais.
b) Análise Bibliométrica – a aplicação da bibliometria tem especial apelo no caso de prospecção em temas tecnológicos emergentes, onde diferentes formas de desenvolvimento e combinação disputam espaço para serem adotadas no futuro. Atualmente, o maior desafio da bibliometria é aproveitar eficazmente o que existe por meio de comparações, e a bibliometria, aliada às informações disponíveis na internet, é uma interessante combinação para o processo (YOSHIDA, 2010). Diversas ferramentas online e estudos independentes já realizados, tabulam os pontos similares e conflitantes entre as legislações de proteção de dados ao redor do mundo, incluindo comparativos para o Encarregado pelo Tratamento de Dados, que em outros países assemelha-se ao Data Protection Officer (DPO), ou Privacy Officer (PO).
c) Levantamento (Survey) – basicamente, procede-se à solicitação de informações a um grupo significativo de pessoas acerca do problema estudado para em seguida, mediante análise, obter as conclusões correspondentes dos dados coletados. (GIL, 2008). Como instrumento para coleta de dados do Método Survey, a Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) aplicou questionário eletrônico a mais de trinta mil profissionais ligados direta ou indiretamente às questões de privacidade e da LGPD, em Março de 2022. Segue disponível o instrumento em: https://docs.google.com/forms/d/1RNxvSgL3gUUFlSKJrHAAoYIqwTaSK_4uBLL5noyOHIo/viewform?edit_requested=true (Acessado em 03 de Abril de 2022). A seleção e tabulação dos dados coletados foram realizadas pelos comitês Científico e Diretivo da ANPPD.
Proposta Técnica para a Regulamentação do Encarregado (DPO) na LGPD
A seguir são apresentadas 21 contribuições para normas complementares sobre a definição e as atribuições do Encarregado pelo Tratamento de Dados Pessoais (Art. §3o – LGPD, 2018), conforme chamada pública da Autoridade Nacional de Proteção de Dados (ANPD), publicada em 18/03/2022 09h48, disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/abertas-inscricoes-para-tomada-de-subsidios-sobre-a-norma-do-encarregado#:~:text=O%20tema%20desta%20tomada%20de,querem%20apenas%20assistir%20%C3%A0s%20reuni%C3%B5es. (Acessado em 02 de abril de 2022).
O Encarregado pelo Tratamento de Dados Pessoais está sendo aqui também denominado ENCARREGADO. Veja abaixo as principais funções:
O ENCARREGADO deve orientar os funcionários e contratados do controlador sobre as práticas de privacidade. Referência: Art. 41, 2o, III – LGPD (BRASIL, 2018)
O ENCARREGADO é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. Referência: Item 67 – ANPD – Guia para os Agentes de Tratamento (BRASIL, 2021)
O ENCARREGADO deve orientar para que políticas de privacidade previstas no Art. 50, §2o, I, d, explicitem a atividade descrita no Art. 41, §2o, III da LGPD. Referência: LGPD. (BRASIL, 2018)
O ENCARREGADO deve orientar a correta implementação dos princípios da LGPD descrito no Art. 6o da LGPD, e adoção das boas práticas durante o planejamento de sistemas utilizados para o tratamento de dados pessoais. Referência: Art. 49, LGPD. (BRASIL, 2018)
O ENCARREGADO pode orientar funcionários e contratados em observância às recomendações já definidas no Guia de Orientação para os Agentes de Tratamento publicados pela a ANPD. Referência: ANPD. (BRASIL, 2021)
O ENCARREGADO deve estar em posição hierárquica que lhe permita dar orientações isentas e com independência para que a organização possa alcançar conformidade com a legislação. Referência: Item 71 – ANPD – Guia para os Agentes de Tratamento (BRASIL, 2021)
Considera-se importante e boa prática preventiva, que o ENCARREGADO demonstre conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização. Referência: Item 72 – ANPD – Guia para os Agentes de Tratamento (BRASIL, 2021)
O ENCARREGADO deve manter-se atualizado sobre a LGPD ou outros regulamentos aplicáveis, além das melhores práticas de proteção de dados objetivando maior grau de assertividade em suas orientações profissionais. Referência: GT29 Orientações sobre o DPO, p.17 – GDPR (EUROPA, 2016b)
Como norma complementar o ENCARREGADO pode demonstrar através de cursos e certificações profissionais, sua capacidade técnica para orientações em proteção de dados conforme definido. Referência: Lachoud (2020) CNIL(FRANÇA, 2020)
O ENCARREGADO deve ter suas orientações formalizadas e divulgadas às áreas organizacionais que executarem atividades de tratamento de dados pessoais. Referência: Art. 41, §1 – LGPD (BRASIL, 2018)
O ENCARREGADO deve ser ponto único de contato do controlador ou operador para com a Autoridade Nacional de Proteção de Dados, ser devidamente nomeado pela instituição a qual representará. Referência: Art. 5, VIII – LGPD. (BRASIL, 2018)
O ENCARREGADO deve verificar se as atividades que lhe competem, e previstas no Art. 41, §2, estão contidas nas políticas internas. Referência: Art. 50, §2, I, a – LGPD. (BRASIL, 2018)
O ENCARREGADO deve verificar se as orientações referentes às práticas de proteção de dados, foram adotadas pela organização, ou justificadas adequadamente quando não se aplicarem. Referência: Privacy Act 2020 (NOVA ZELANDIA, 2020)
O ENCARREGADO deve verificar e formalizar para o controlador ou operador, as orientações a respeito das práticas de proteção de dados a fim de favorecer a prestação de contas da organização para com a ANPD e ao titular. Referência: Art. 6, X – LGPD (BRASIL, 2018)
Em cumprimento ao Art. 5, VIII, o ENCARREGADO pode cooperar com a ANPD ou outros órgãos competentes fornecendo as documentações solicitadas em caso de investigação. Referência: Capítulo 5, Parte B – POPIA (ÁFRICA DO SUL, 2013)
O ENCARREGADO deve orientar os funcionários sobre as práticas de proteção de dados através de ações educativas e treinamentos que contemplem desde a concepção do tratamento do dado pessoal. Referência: Art. 31 – PIPA (CORÉIA DO SUL, 2011)
O ENCARREGADO deve executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (Art. 41, §2, IV) que não conflitem com os deveres previstos na LGPD. Referências: Seções 41 e 42 – PDPA (TAILANDIA, 2019)
O ENCARREGADO deve supervisionar a aplicação das práticas de proteção de dados orientadas para os funcionários e contratados da organização. Referência: Art. 40 (URUGUAI, 2008)
O ENCARREGADO deve ser envolvido nas atividades que tratem dados pessoais emitindo parecer técnico quanto aos riscos do tratamento. Referência: Art. 37-39 – GDPR (EUROPA, 2016a
O ENCARREGADO colabora com aconselhamento, quando tal lhe for solicitado, no que respeita o relatório de impacto de proteção de dados e coordenando a sua realização nos termos do artigo 38 da LGPD. Referência: Art. 39, 1c – GDPR (EUROPA, 2016a)
O ENCARREGADO deve estar vinculado à obrigação e/ou regras de sigilo ou confidencialidade, no exercício das suas funções, quanto orientações referente as práticas de proteção de dados contidas no Art. 41, §2, III da LGPD. Referência: 38, 5 – GDPR (EUROPA, 2016a)
Autor: Dr. Davis Alves, Ph.D Data de Publicação: 04 de abril de 2022
CLASSIFICAÇÃO DESTE DOCUMENTO – PÚBLICO/PUBLICADO
Dr. Luiz Lima – Diretor do Comitê Científico ANPPD
Umberto Correia – Diretor do Comitê de Governança ANPPD
Paulo Emerson Pereira – Vice-Diretor do Comitê Público ANPPD
Dra. Silvia Brunelli do Lago – Relações Governamentais ANPPD
Dr. Davis Alves, Ph.D – Presidente ANPPD
Fonte: https://www.exin.com/br-pt/regulamentacao-do-encarregado-pelo-tratamento-de-dados-pessoais-dpo/
Referências:
ÁFRICA DO SUL. Protection of Personal Information (POPIA). Government Gazette, 2013. Disponível em: https://www.gov.za/sites/default/files/gcis_document/201409/3706726- 11act4of2013protectionofpersonalinforcorrect.pdf. Acessado em: 02 de abr. 2022
BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, maio 2021. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e- publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf. Acesso em: 02 de abr. 2022)
BRASIL. Presidencia da República. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, Agosto 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/L13709.html. Acesso em: 02 de abr. 2022)
CORÉIA DO SUL. Personal Data Protection Law (PIPA). MOPAS, 2011. Disponível em: https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000830758&fileS n=4&nttId=8186&toolVer=&toolCntKey_1= . Acessado em: 02 de abr. 2022
EUROPA. General Data Protection Regulation (GDPR). EUR-Lex. 2016a. Disponível em: https://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04?locale=pt . Acessado em: 02 de abr. 2022
EUROPA. Orientações sobre os encarregados da proteção de dados (EPD). Grupo de Trabalho do Artigo 29. 2016b. Disponível em https://www.cnpd.pt/media/meplvdie/wp243rev01_pt.pdf. Acessado em: 02 de abr. 2022
GIL, Antonio Carlos; MÉTODOS, C. técnicas de pesquisa social. São Paulo, Editora Atlas, 2008.
LACHAUD, Eric. What GDPR tells about certification. Computer Law & Security Review, v. 38, p. 105457, 2020.
NOVA ZELANDIA. Privacy Act 2020. Parliamentary Counsel Office. 2020. Disponível em https://www.legislation.govt.nz/act/public/2020/0031/latest/whole.html. Acessado em: 02 de abr. 2022
SALEILLES, Raymond. De la Personalité juridique: Histoire et théories. 23 leçons d’introd. à un cours de droit civil comparé sur les personnes jurid. Rousseau, 1910.
TAILANDIA. Personal Data Protection Act (PDPA). Government Gazette. 2019. Disponível em: https://thainetizen.org/wp-content/uploads/2019/11/thailand-personal-data-protection-act- 2019-en.pdf. Acessado em: 02 de abr. 2022
URUGUAY. Ley de Proteccion de Datos Personales. Normativa y Avisos Legales del Uruguay. 2008. Disponível em: https://www.impo.com.uy/bases/leyes/18331-2008#:~:text=%2D%20Toda%20persona%20f%C3%ADsica%20o%20jur%C3%ADdica,de %20la%20que%20es%20titular. Acessado em: 02 de abr. 2022
YOSHIDA, Nelson Daishiro. Análise bibliométrica: um estudo aplicado à previsão tecnológica. Future Studies Research Journal: Trends and Strategies, v. 2, n. 1, p. 52-84, 2010. Disponível em: https://www.futurejournal.org/FSRJ/article/view/45/68. Acessado em: 03 de abr. 2022
ANPPD® – Comitê Diretivo ● contato@anppd.org ● Documento Público/Publicado ANPPD® – Associação Nacional dos Profissionais de Privacidade de Dados
2022 – Versão: 1.0 04/04/2022