Quem é o encarregado ou DPO, na LGPD?

A cada dia aproxima-se a data para a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrar em vigência e muitas dúvidas a respeito de sua implementação ainda precisam ser respondidas. Dentre esses temas, se destaca as atribuições e especificidades da figura do Encarregado, também já designado de DPO (Data Protection Officer), em razão da influência europeia na lei brasileira.

A legislação brasileira define o Encarregado como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos danos e a Autoridade Nacional de Proteção de Dados (ANPD)”, conforme art. 5, inciso VIII, da LGPD.

Assim, de imediato percebe-se a importância dada ao Encarregado na política de proteção de dados, responsável pela integração segura de todos os agentes envolvidos no tratamento de dados.

Qual a diferença entre encarregado e controlador

O Controlador – quem pratica qualquer tipo de tratamento de dados – deverá indicar o Encarregado, que poderá ser uma pessoa natural ou mesmo uma empresa que se dedique à essa atividade.

Inicialmente, na redação original da lei, haveria a exigência de que o Encarregado fosse uma pessoa natural, não havendo a possibilidade de se indicar qualquer pessoa jurídica para exercer as atribuições de encarregado. No entanto, após as modificações legislativas, consolidou-se o texto que retirava da redação o termo ‘natural’ do inciso VIII do art. 5º da LGPD, indicando a autorização para que pessoas jurídicas assumam o papel de Encarregado.

A ampliação da natureza jurídica do Encarregado é importante pois, tendo em vista a obrigatoriedade da indicação por todas as pessoas que realizem tratamento de dados pessoais (art. 41 da LGPD), faz-se necessário a ampliação das possibilidade de atuação dessa nova figura do direito brasileiro, contribuindo inclusive para o sucesso da política de dados no país.

Atividades atribuídas ao encarregado

As atividades do Encarregado encontram-se expressas no art. 41 da LGPD, consistindo em:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Com a legislação atual, fica claro que apesar de descrita a missão do Encarregado, as atribuições e o seu modo de atuação deverão ser tratados por meio de regulamentação específica, inclusive a serem editados pela Autoridade Nacional de Proteção de Dados (artigos 41, §3º e 55-J da LGPD).

Uma vez indicado, a lei prevê que as informações de contato do Encarregado deverão ser divulgadas pelo Controlador, demonstrando mais uma vez a importância de tal figura na dinâmica de tratamento de dados.

Assim, a leitura do texto da lei nos permite inferir que as atividades do Encarregado envolverá íntima relação com o Controlador, prolongando-se no tempo, tendo em vista o constante acompanhamento e monitoramento das atividades de tratamento de dados.

Quais são os requisitos técnicos de um encarregado

Outro aspecto que tem gerado grande especulação é a respeito dos requisitos técnicos necessários ao Encarregado. No cenário europeu não foram impostas formações de áreas específicas, indicando-se tão somente que deverá ser sujeito conhecedor da legislação de proteção de dados e capaz de desempenhar as atividades impostas no regulamento.

No Brasil, o texto original da lei previa a necessidade de conhecimento jurídico regulatório, porém tal disposição foi excluída sob a justificativa de que tal requisito seria contrário ao interesse público restringindo o livre exercício profissional, de modo que, atualmente, não há exigências técnicas o Encarregado.

De toda forma, considerando as atribuições do cargo, espera-se que o Encarregado detenha conhecimentos jurídicos a respeito da legislação de proteção de dados, o que não se limita somente à LGPD, bem como conhecimentos relativos à segurança de informação. Além disso, é importante que o Encarregado também tenha conhecimentos de governança e boa capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área jurídica, Tecnologia da Informação (TI), Financeiro, Marketing, Comercial e Recursos Humanos.

Isso porque, o Encarregado será a principal ferramenta do controlador para garantir o efetivo cumprimento da LGPD, por meio de uma política de proteção de dados consistente, afastando eventuais responsabilizações e sanções por violação de dados pessoais.

Assim, como se percebe, a atividade do Encarregado trata-se de área nova, extremamente importante e em desenvolvimento no mercado brasileiro, essencial à execução da política de proteção de dados, cujo papel deverá ser desempenhado por profissionais com grande capacidade de adaptação, integração e conhecimento técnico.

Sua empresa está preparada para a LGPD?

A Lei Geral de Proteção dos Dados (LGPD) entrará em vigor em agosto de 2020, e vai influenciar qualquer organização que coleta ou processa dados do Brasil ou de residentes brasileiros.

Daqui até lá faltam poucos meses. Preparamos, em parceria com a BHS, uma lista rápida das questões sobre as quais você deve refletir para verificar até que ponto seu negócio está se moldando à LGPD.  Vamos lá?

1. A gerência entende a importância da LGPD?

A LGPD afeta e depende de todos na organização, motivo pelo qual a gestão precisa levá-la a sério e se responsabilizar pela conscientização e educação de todas as camadas da empresa.

A LGPD pode custar até 2% do faturamento ou R$50 milhões, a depender da infração. Além da multa, os danos causados à imagem e reputação do negócio podem ser irreversíveis, provocando até o encerramento das atividades.

2. Você sabe onde estão seus dados hoje?

O regulamento cobre todos os dados existentes previamente, bem como novos dados coletados depois que ele entrar em vigor. Então, é melhor descobrir onde todos os seus dados atuais estão hospedados, os tipos que estão sendo mantidos e os processos de acesso, armazenamento seguro, backup e controle.

Além disso, é preciso se perguntar se todos os dados armazenados pela empresa hoje são realmente necessários. É mais fácil cuidar e segurar volumes menores de dados.

3. Você tem um processo para fornecer os dados que forem pedidos?

A LGPD oferece aos usuários (titulares) o direito de exigir que os controladores (as organizações que os detêm) forneçam seus dados de volta, em formato legível por máquina. Você está pronto para responder a solicitações, coletar os dados de todas as fontes sobre os indivíduos e devolvê-los?

A nossa dica é digitalizar todos os dados existentes (como fichas de cadastro, por exemplo) e concentrá-los em um único banco de dados.

4. Você tem um processo para excluir dados se exigido?

Os titulares de dados podem exigir que seus dados sejam excluídos do seu armazenamento e o tratamento seja interrompido. Sua empresa é capaz de excluir e comprovar a exclusão dos dados tratados hoje?

Assim como no item anterior, facilita muito se todos os dados estiverem armazenados em um mesmo local.

5. Você entende as regras de consentimento?

Todos os dados armazenados e tratados pelo controlador devem ter sido coletados com consentimento expresso do usuário. Mesmo os dados coletados há muito tempo devem ter essa autorização atualizada.

Em uma auditoria, você precisa ser capaz de responder onde conseguiu os dados e como o sujeito dos dados concordou com a coleta.

6. Você sabe quais terceirizados têm acesso aos dados?

Supondo que seja um controlador de dados, você é responsável pela manutenção segura desses, independentemente de quem estiver lidando com eles. Você tem certeza de suas políticas, procedimentos e tecnologias para manter essas informações seguras?

É importante identificar os pontos de vulnerabilidade nos seus processos e, assim, definir as prioridades na hora de reforçar a segurança.

7. Tem certeza de que pode detectar violações de dados?

Você não quer ser informado de um incidente de perda de dados pelos próprios usuários ou pela autoridade de proteção. Você tem tecnologia que possa detectar violações ocorridas para investigar como os dados foram perdidos (ou alterados)?

Algumas ferramentas, como o Office 365, oferecem registro completo de usuários, que identifica quando e por quem alterações e exclusões foram feitas nos documentos.

8. Todos os processos e fluxos de dados foram documentados?

Se ocorrer uma violação ou o regulador investigar a organização, é preciso ter documentos para explicar os fluxos de dados completos. Você está pronto para responder a essas perguntas? O nível das multas levará em consideração os processos, a tecnologia e a documentação que descrevem os sistemas e o fluxo de dados.

9. Seus contratos já foram revistos?

Quando se fala em Lei Geral de Proteção de Dados, também é preciso prestar atenção em parceiros, funcionários, clientes e fornecedores. Por isso, a revisão dos contratos – inclusive os de trabalho – deve ser feita de forma a resguardar a empresa em caso de infrações de terceiros que tenham vínculo com o seu negócio.

Essas são as principais questões para refletir até que a LGPD entre em vigor. Se elas foram fáceis de responder, ótimo! Você está no caminho certo. Se não, é hora de repensar a forma como você gerencia e armazena dados pessoais.

É importante que seja realizado um planejamento para a completa adequação, evitando assim notificações e multas. A assessoria jurídica e na área de Tecnologia da Informação (TI) são fundamentais nesse processo.

Esse conteúdo foi produzido por especialistas em TI da BHS.

Quais os impactos das sanções administrativas com a LGPD

A Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) que entrará em vigor a partir de agosto de 2020 tem causado temor a empresários e profissionais autônomos que utilizam de dados pessoais em suas atividades laborais, principalmente no que tange as sanções administrativas em decorrência de um tratamento inadequado destes dados. De acordo com dados divulgados pelo Serasa, cerca de 85% das empresas não estão prontas para a LGPD.

A nova legislação tem como objetivo a proteção dos dados pessoais de clientes, fornecedores, colaboradores, prestadores de serviços e outros possíveis cadastros físicos e virtuais, para que não sejam extraídos e distribuídos sem a prévia autorização de seus titulares. São regulamentos precisos sobre os processos de coleta, armazenamento e compartilhamento.

No presente artigo faremos uma enumeração das sanções definidas na nova legislação, bem como exemplificar os principais pontos e intenções do legislador ao materializá-las no ordenamento jurídico pátrio. Acompanhe!

SANÇÕES ADMINISTRATIVAS

As sanções estão previstas no Artigo 52 da Lei, aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração direta federal responsável pela edição e, principalmente, a fiscalização das normas e procedimentos sobre a transferência de dados no país. A ANPD é composta por um Conselho Diretor, um Conselho Nacional de proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de assessoramento jurídico próprio e unidades administrativas e unidades especializadas necessárias à aplicação da LGPD.

I – advertência, com indicação de prazo para adoção de medidas corretivas;

É uma penalidade que “ipsis litteris” copia o artigo 12, inciso I do Marco Civil da Internet (Lei 12.965/2014), ou seja, sem grandes inovações para o ordenamento jurídico brasileiro.

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

A aplicação da penalidade pecuniária de multa simples levanta questionamentos sociais relevantes, vez que possuí um impacto patrimonial, tendo como principais parâmetros valor: até 2%, respeitado o limite de R$50 milhões; a base de cálculo, por meio do faturamento do último exercício, excluídos os tributos; o destinatário: pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, e por último a recorrência da infração.

Cabe destacar que ainda que se queira entender fragilizado o poder de polícia da ANPD em face da instrumentalidade pecuniária mais simples que a de outras regulações, há que se considerar o aspecto reputacional da proteção de dados, além da irradicação de responsabilidade civil na cadeia de tratamento de dados pessoais, dessa maneira, houve preocupação em limitar o poder arrecadatório da ANPD, de maneira a não se criar um estímulo a chamada “indústria da multa”.

III – multa diária, observado o limite total a que se refere o inciso II;

Possui uma natureza distinta da multa simples definida no inciso II, pois advém de descumprimento de cominação legal ou cominação proferida por autoridade pública, vez que é um instrumento coercitivo para cumprimento de uma obrigação imposta.

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

Penalidade que possuí um efeito de reputação do agente, pois importa na sua exposição pública, por imposição da ANPD, após processo administrativo, onde são apuradas e confirmadas a(s) sua(s) conduta(s) infratora(s).

Podemos destacar que o responsável pela publicização será o próprio agente de tratamento condenado administrativamente, devendo arcar com tais custos, o que pode agravar a pena, tendo em vista os altos custos para se publicar em jornais e mídias televisivas, penalidade que caberá à ANPD delimitar melhor os seus contornos.

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

O bloqueio a que se refere o inciso equivale a uma limitação temporária do tratamento de dados até que o agente regularize determinada situação.

VI – eliminação dos dados pessoais a que se refere a infração;

Equivale-se ao apagamento definitivo dos dados, devendo, tão somente, assegurar a plenitude desse tratamento, de maneira a que não se recuperem os dados por métodos e tecnologias capazes de recuperar os dados excluídos.

VII; VIII; IX – (VETADOS).

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

É considerada uma penalidade atípica, pois incide sobre a base de dados, não sobre a atividade de tratamento ou sobre a pessoa do agente de tratamento.

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

É uma penalidade que possibilita uma atuação extremamente relevante para o Estado fiscalizador, vez que em sede cautelar, é apta a estancar violações graves, respeitado o devido processo legal-administrativo.

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

No mesmo sentido da penalidade prevista no inciso anterior, é um importante instrumento para o Estado fiscalizador, principalmente em um sistema punitivo ideal, cujo objetivo é assegurar “o máximo grau de racionalidade e confiabilidade do juízo e, portanto, de limitação do poder punitivo e de tutela da pessoa contra a arbitrariedade”.

CRITÉRIOS PARA APLICAÇÃO DAS SANÇÕES

Ante todas as sanções expostas, cumpre destacar a forma e os critérios para que elas sejam aplicadas pela ANPD, conforme se encontra definido no parágrafo primeiro do artigo 52, conforme abaixo:

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas; e

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Desta forma, o que se percebe após análise das sanções administrativas acima expostas, é de que a LGPD não é exclusivamente uma lei voltada à proteção dos indivíduos titulares de dados pessoais, mas ao estímulo à inovação e às liberdades econômicas, o que fica claro após a leitura dos incisos do parágrafo 1º do artigo 52, vez que estimulam a adoção de programas de governança de privacidade, cultura corporativa, boas práticas em privacidade e proteção de dados, além de ser uma regulação, sugere como forma premiativa, que o bom comportamento também significa adoção de métodos preventivos e corretivos de problemas.

Importante instrumento materializado na Lei é o que se encontra disposto no artigo 53, que impõe à ANPD a obrigação de definir, por meio de regulamento próprio sobre as sanções administrativas, as metodologias que orientarão o cálculo do valor-base das sanções de multa, que deverá ser objeto de consulta pública, uma vez que racionaliza e torna transparente o processo regulamentador que dará ensejo à edição de normas complementares sobre a fixação de multas.

Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A adequação à nova Legislação não será tarefa fácil, porém a falta dela poderá importar em prejuízos incomensuráveis. Ponderando-se que o compliance tem objetivos tanto preventivos, quanto reativos, tais danos podem ser consideravelmente reduzidos.

Portanto, ante todo o exposto acima, percebe-se que o propósito da nova legislação não é punitivo, mas pedagógico, sendo esse seu direcionamento maior, o que fica claro quando da análise dos seus diversos critérios atenuantes e agravantes, norteadores da atividade sancionatória. No entanto, devem os agentes que utilizam o tratamento de dados nas suas atividades, adequar os seus processos internos e criar a cultura de gestão de dados. Para a adequação dos processos internos das empresas à LGPD é necessário o comprometimento e empenho de todos os colaboradores. A área jurídica e de tecnologia da informação (TI) são fundamentais para a implementação eficaz de procedimentos que visam combater essa adversidade e atenuar os danos advindos de um vazamento de dados.