Por Betina de Vincenzi, Giovana Lenzi, Laura Assis, Laryssa Chaves*
A Lei Federal n. 13.709/2018, conhecida e denominada como Lei Geral de Proteção de Dados Pessoais – LGPD, entrou em vigor em agosto de 2020. É ela que regulamenta o tratamento, uso, proteção e transferência de dados pessoais por parte de empresas públicas e privadas no Brasil. Os dados pessoais são qualquer informação referente a uma pessoa que permita identificá-la.
A LGPD foi criada com o intuito de proteger os direitos fundamentais de liberdade e de privacidade das pessoas, conforme consta na própria Constituição Federal de 1988 (BRASIL, 1998), e a livre formação da personalidade de cada indivíduo. Ou seja, a LGPD propicia que os cidadãos contem com um mecanismo para terem controle sobre suas informações pessoais. A Lei exige o consentimento das pessoas, solicitado de uma forma clara, para que ocorra a coleta e uso desses dados, obrigando também que o usuário possa visualizar, corrigir e excluir esses dados.
A lei brasileira é baseada na General Data Protection Regulation, GDPR, legislação de proteção de dados da Europa, vigente desde 2016. Ambas as Leis surgiram após episódios que assustaram e preocuparam a população a respeito de seus dados. Como exemplo, temos a eleição do ex-presidente dos Estados Unidos, Donald Trump, em 2016, que utilizou em sua campanha dados coletados em redes sociais dos eleitores a seu favor.
Neste texto, abordamos quem são os atores envolvidos na implementação da LGPD e quais são seus papéis. Para isso, contamos com o auxílio de Letícia Mulinari Gnoatton, sócia da Menezes Niebuhr e Mestre em Direito pela Universidade Federal de Santa Catarina, cujo tema de pesquisa teve como foco a proteção de dados pessoais e direito da União Europeia (GDPR).
Atores envolvidos na implementação da LGPD
Segundo Art. 5º da Lei 13.709/2018, são atores ativos da LGPD:
Titular – pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado – pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
ANPD – órgão federal responsável por fiscalizar e aplicar a LGPD.
O Encarregado de Dados
O Encarregado de Dados, ou Data Protection Officer, DPO, é a pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos dados e a ANPD. Suas atribuições, segundo a LGPD (Art. 41, parágrafo 2º), incluem:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Não existem muitas formas de capacitação, formação ou certificação necessária para o desempenho dessa função dentro das empresas. Todavia, pela responsabilidade outorgada a esse profissional, é desejável que o mesmo possua experiência em processos de auditoria e governança da segurança da informação. O conhecimento da LGPD e demais normas ou legislações relativas à proteção de dados devem ser uma premissa para esse profissional. As recomendações são de que o profissional não seja do setor jurídico e de tecnologia da informação da própria organização, visto que corre riscos de enfrentar dificuldades se for necessário relatar um erro do seu próprio setor.
Sobre o Encarregado, segundo Martha Leal (2022):
- o artigo 5, VII, que define o encarregado como a pessoa indicada pelos agentes de tratamento para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados;
- o artigo 23, III, que declara que as organizações públicas também têm o dever de indicar um encarregado; e
- o artigo 41, que especifica que os controladores, e aqui não há menção aos operadores, devem indicar um encarregado pelo tratamento de dados pessoais.
A LGPD determina que quem responde por uma violação de segurança, como um vazamento de dados, são os agentes de tratamento – o controlador e o operador. Ou seja, as empresas e pessoas envolvidas no tratamento de dados pessoais. Como dentro das empresas o responsável por tratar e proteger os dados são os DPOs, cabe a estes grande parte da responsabilidade em casos de violação de segurança.
O encarregado de dados no setor público
Na Administração Pública, seja em órgãos federais, estaduais ou municipais, há um imenso volume de coleta de dados, visto que, o serviço público tem como usuário o cidadão. Portanto, é indispensável realizar essa coleta. Além disso, dados dos próprios servidores públicos são dados pessoais, portanto, entram na legislação de proteção.
As exigências e organizações de políticas de compliance em empresas privadas são recomendadas para a Administração Pública, uma vez que a Autoridade Nacional de Proteção de Dados é um órgão federal, responsável por fiscalizar e instituir a LGPD.
Em relação ao Encarregado de Dados nesse meio, é importante que o profissional nomeado “tenha autonomia, acesso à alta administração, independência e todos os recursos necessários para executar suas funções de forma plena” (XAVIER, 2021).
No setor público, seja desde a GDPR ou LGPD, não há nenhum caso registrado de processo contra o Encarregado de Dados, portanto, não existem informações para apontar se isso ocorre devido à ausência da ANPD fiscalizando ou, da falta de entendimento por parte dos cidadãos referente a seus direitos assegurados na Lei.
O encarregado de dados e a accountability
Dado o exposto, concluímos que tanto em empresas privadas como no setor público, ter um bom profissional de DPO, atuando e representando a instituição, aumenta o nível de confiabilidade da organização e ilustra, na prática, a responsabilidade ética e a accountability exigidos para algo além da lei. A accountability não se refere apenas às leis, mas às expectativas gerais da sociedade, pois passa segurança e profissionalismo aos usuários que fornecem seus dados ao utilizar um serviço ou consumir um produto.
O setor público, devido a seu tamanho e complexidade, tem muito a avançar na implementação para entrar em conformidade com a legislação. É um processo trabalhoso e contínuo, visto que, dados são coletados e atualizados diariamente.
Inclusive, pela alta complexidade citada, é uma recomendação que o órgão público contrate um profissional ou empresa para realizar o compliance da LGPD. Desta forma, as atividades cotidianas não são deixadas de lado para realizar os processos de adequação e vice-versa.
Notamos também que, ao juntar dados sobre incidentes relacionados ao Encarregado de Dados, existe uma falta de cultura de proteção de dados, de transparência e accountability. Diariamente, recebemos notícias de vazamento de dados, porém, não se vê repercussão e continuidade para expor quem foi o responsável pelo fato, o porquê e suas consequências.
* Texto elaborado pelas acadêmicas de administração pública, Betina de Vincenzi, Giovana Lenzi, Laura Assis e Laryssa Chaves, no âmbito da disciplina Sistemas de Accountability, da Udesc – Esag, ministrada pela professora Paula Chies Schommer, em 2022.
Referências
BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 10 nov. 2022.
GUIA ORIENTATIVO: Tratamento de Dados Pessoais pelo Poder Público. Disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf. Acesso em: 10 nov. 2022.
LEAL, Martha. O papel do DPO na demonstração de accountability da empresa. 2022. Disponível em: https://www.conjur.com.br/2022-jan-03/leal-papel-dpo-demonstracao-accountability-empresa. Acesso em: 10 nov. 2022.
XAVIER, Fabio Correa. O Encarregado de Dados no Setor Público: a LGPD veio para ficar e todos, sociedade e governo, serão beneficiados em relação à privacidade e proteção dos dados pessoais. 2021. Disponível em: https://www.migalhas.com.br/depeso/339636/o-encarregado-de-dados-no-setor-publico. Acesso em: 10 nov. 2022.