A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n.º 13.709/2018, inspirada no Regulamento Europeu, criou a figura do encarregado pelo tratamento de dados pessoais, pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Trata-se de personagem muito importante para que o enforcement da LGPD possa, efetivamente, ser adequadamente atingido.
Em editorial publicado pelo Estadão em 17 de julho de 2023, intitulado Dados ao deus-dará, foi assinalado, com propriedade, que “de nada adianta a proteção prevista na lei se ela não sair do papel”. De nossa parte, por meio de aulas, palestras, conferências, etc., procuramos pôr em realce a importância inquestionável de tal advertência, levando-nos a fazer sugestões de regramento à referida autoridade.
A LGPD prevê o estabelecimento de normas complementares sobre a definição e as atribuições do encarregado pela ANPD, o que finalmente ocorreu no dia 16 de julho último, por meio da Resolução CD/ANPD n.º 18/2024, após a tomada de subsídios ocorrida em abril de 2022 e a consulta pública realizada em dezembro de 2023.
Quanto ao disposto na resolução, nota-se que a ANPD acolheu as contribuições recebidas na consulta pública, pois o texto publicado diverge do anteriormente apresentado, o que revela a louvável intenção de a ANPD trabalhar junto à sociedade civil, dela recolhendo as ponderações pertinentes.
Além disso, a ANPD – a nosso ver, acertadamente – não incluiu a possibilidade de dispensa do encarregado, conforme o volume de operações de tratamento de dados. A LGPD permite a dispensa, a ser realizada pela autoridade, “conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”, sendo que, de acordo com a natureza, a ANPD já dispensou segundo a Resolução 2/2022, que regulamenta os agentes de tratamento de pequeno porte.
Vê-se com bons olhos, como não poderia deixar de ser, a não dispensa do encarregado, devido ao fato de que o papel por ele exercido é fundamental no processo de implementação da cultura da proteção dos dados pessoais no Brasil, pois tem como atribuição orientar a equipe da sua organização e fornecedores. Enxergamos o encarregado como um importante agente promotor da cultura da proteção de dados, indispensável para a efetiva adequação das organizações.
Dentre os 21 artigos da resolução, destaca-se a necessidade de indicação, por ato formal, de documento escrito, datado e assinado, no qual constem as formas de atuação e as atividades desempenhadas. A identidade do encarregado pelo tratamento de dados deve ser divulgada e manter-se atualizada: se pessoa física, nome completo e CPF; se pessoa jurídica, nome empresarial mais o nome da pessoa natural responsável, conforme o artigo 7.º. A LGPD, ao conceituar o encarregado, usou o termo “pessoa”, e a resolução, em seu artigo 12, esclarece que o encarregado pode ser uma pessoa física ou jurídica.
Quanto às qualificações para o desempenho da função, o regulamento atribui ao agente de tratamento o estabelecimento das atribuições necessárias, considerando o conhecimento sobre a legislação de proteção de dados, contexto, volume e risco das operações, nos termos do artigo 7.º. Vale destacar que a não indicação não pressupõe inscrição em alguma entidade específica, conforme o artigo 14.
Além das tarefas já previstas na lei, as quais também são referidas no artigo 15 da resolução, o artigo 16 atribui ainda ao encarregado prestar assistência e orientação ao agente de tratamento na elaboração, definição e implementação das atividades mencionadas no artigo, entre elas, o registro e a comunicação de incidente de segurança, o registro das operações de tratamento de dados pessoais e o relatório de impacto à proteção desses dados.
O conflito de interesse também é abordado pela resolução, que orienta ao encarregado “atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse”, nos termos do artigo 18, esclarecendo, no parágrafo 1.º do artigo 19, que o conflito de interesse pode ocorrer “entre as atribuições exercidas internamente em um agente de tratamento ou no exercício da atividade de encarregado em agentes de tratamento distintos, ou, ainda, com o acúmulo das atividades de encarregado com outras que envolvam a tomada de decisões estratégicas sobre o tratamento de dados pessoais pelo controlador, ressalvadas as operações com dados pessoais inerentes às atribuições do encarregado”.
Vale dizer que, uma vez constatada a simples possibilidade de ocorrer um conflito de interesse, o agente de tratamento deve optar quer por não indicar a pessoa para exercer a função de encarregado, quer por implementar medidas para afastar o risco de conflito de interesse, quer, finalmente, por substituir a pessoa designada para exercer a função de encarregado, conforme preceituado no parágrafo único do artigo 21.
Bem andou, portanto, a ANPD, para que os dados pessoais dos seus titulares não fiquem expostos ao “deus-dará”.