A Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar as sanções previstas na Lei Geral de Proteção de Dados (Lei 13.709/2018) a partir de 1º de agosto de 2021. Contudo, ainda há uma série de lacunas a serem regulamentadas sobre a forma de atuação dos controladores perante a requisição dos titulares, como a própria ANPD reconheceu por meio de sua agenda regulatória.
Nessa agenda, há a previsão de que a regulamentação dos direitos dos titulares terá início somente no primeiro semestre de 2022. Além disso, referida agenda regulatória define que, no primeiro semestre de 2021, seria iniciado o processo de estabelecimento de Resolução para aplicação das sanções previstas no art. 52, incluindo a definição de situações em que se deve aplicar multa, bem como a metodologia para cálculo do seu valor-base. Contudo, a LGPD já está em vigor e qualquer titular pode fazer requisições para os controladores para fazer valer seus direitos. Neste caso, como o controlador deve se preparar?
O papel do encarregado pelo tratamento de dados pessoais
O encarregado pelo tratamento de dados pessoais, definido no art. 41 da LGPD, é o responsável pelas comunicações entre controlador, titular de dados e a ANPD, sendo um canal interativo entre esses atores. Andressa Carvalho da Silva destaca que “a lei atribui a responsabilidade ao controlador e ao operador, mas não ao encarregado. Isso porque, em algumas hipóteses, pode não haver a figura do encarregado”. A definição de normas complementares sobre as hipóteses de dispensa da necessidade de indicação do encarregado, considerando o porte e natureza da organização ou o volume de transações é uma das ações da agenda regulatória da ANPD, com previsão de início no primeiro semestre de 2022.
Contudo, o Guia Orientativo para Definições de Agentes de Tratamento de Dados Pessoais e do Encarregado, reitera que órgãos e entidades públicas devem indicar um encarregado de dados, baseando-se no art. 233, inciso III. Mas qual seria o perfil ideal para o encarregado de dados? O § 2º do artigo 41 da LGPD define, de forma não exaustiva, as principais responsabilidades do encarregado de dados. Marcos G. da S. Bruno as relaciona de forma mais detalhada em artigo publicado no livro LGPD: Lei Geral de Proteção de dados Comentada (Thomson Reuters Brasil, 2019):
a. interagir com os titulares dos dados pessoais, inclusive prestando esclarecimentos, e adotando providências necessárias em razão desses contatos ou reclamações dos titulares;
b. interagir com a ANPD, sendo inclusive o ponto de contato para recebimento das comunicações da Autoridade, e responsável por adotar as providências requeridas;
c. orientar os colaboradores da entidade a respeito das práticas relacionadas à proteção de dados pessoais;
d. executar todas as atribuições determinadas em normas complementares, da ANPD ou outros órgãos;
e. assessorar os responsáveis pelo tratamento de dados pessoais na emissão de relatórios de impacto à proteção de dados pessoais, emitindo opiniões e pareceres que possam embasar tais relatórios;
f. monitorar a conformidade das atividades de tratamento de dados pessoais com a regulamentação e as normas vigentes;
g. cooperar com a ANPD, sempre que demandado;
h. recomendar a realização de relatórios de impacto à proteção de dados pessoais, ou não, inclusive sobre a metodologia de sua realização;
i. recomendar as salvaguardas para mitigar quaisquer riscos aos direitos dos titulares de dados pessoais tratados pela empresa, inclusive salvaguardas técnicas e medidas organizacionais;
j. decidir sobre a adequação dos relatórios de impacto à proteção de dados, e se as conclusões estão de acordo com a regulamentação, ou não.
Podemos notar que as responsabilidades de um encarregado permeiam várias áreas do conhecimento, como legislação, privacidade e proteção de dados, tecnologia da informação, segurança da informação, metodologias de análise de risco e governança, administração e atendimento às demandas internas e externas. A designação do encarregado pelas instituições deve ser baseada nas qualidades profissionais do indicado, especialmente em conhecimento sobre privacidade e proteção de dados. Quanto mais complexas forem as atividades de tratamento de dados realizadas pela instituição, maior deverá ser o nível de conhecimento técnico do encarregado.
O encarregado pode ser responsável por cumprir o princípio da responsabilização e prestação de contas, previsto no art. 6º, inciso X1, da LGPD, gerando evidências de conformidade, como relatórios de impacto à proteção de dados, geração de indicadores, registro das atividades de tratamento, atas de reunião do Comitê de Privacidade, dentre outras.
O encarregado pode ser um colaborador da instituição ou um terceiro contratado, inclusive, uma empresa. No entanto, é importante evitar o conflito de interesses das atribuições do encarregado com outras funções que ele eventualmente exerça na instituição. Uma das atribuições do encarregado é verificar se as atividades de tratamento de dados executadas pela instituição estão de acordo com o previsto na LGPD. Assim, se o encarregado é responsável pelo tratamento de dados em sua instituição, sua atividade de monitoramento da conformidade gera um conflito de interesse, podendo fazer com que a instituição não atenda plenamente à legislação. Por exemplo, se o encarregado de dados for o mesmo colaborador responsável por definir e especificar soluções de TI para a empresa, haverá conflito, pois ele deverá fiscalizar a si mesmo à luz da LGPD. Assim, o princípio da segregação de funções deve ser observado para evitar conflitos de interesses na designação do encarregado de dados, de forma que ele não acumule posição na instituição que o “leve a determinar os propósitos e meios relacionados ao tratamento de dados pessoais”.
Outro ponto que merece destaque é a posição da função de encarregado de dados dentre da estrutura organizacional da organização. Marcos G. da S. Bruno defende que o cargo deve ser desvinculado das áreas tradicionais da organização, com reporte direto à Diretoria e Presidência, com todos os recursos necessários à execução de suas atividades. A Instrução Normativa nº 117 define que o encarregado deve ter acesso direto à alta administração da instituição.
Fato é que o encarregado de dados deve ter uma função relevante no âmbito das organizações, especialmente no atendimento às requisições dos titulares de dados. Justamente por isso, ele deve ter autonomia, bom nível de conhecimento das matérias envolvidas no tema e acesso direto à alta administração da instituição. Também é importante e uma boa prática que o encarregado seja apoiado por uma equipe de proteção de dados, de forma que ele tenha os recursos necessários — prazos apropriados, pessoal, finanças e infraestrutura — para executar suas funções.
O § 1º do artigo 41 da LGPD exige que a identidade e informações de contato do encarregado devem ser publicadas no sítio eletrônico do controlador, para que ele possa ser facilmente encontrado, tanto pela ANPD quanto pelos titulares dos dados e demais interessados, atendendo ao princípio da transparência. Isso é importante pois os “direitos dos titulares (art. 18) são, em regra, exercidos em face do controlador, a quem compete, entre outras providências, fornecer informações relativas ao tratamento, assegurar a correção e a eliminação de dados pessoais, receber requerimento de oposição a tratamento”.
Como organizar-se para responder às demandas da LGPD?
O art. 18 da LGPD definiu os direitos específicos que podem ser exercidos pelo titular dos dados pessoais, ou seja, o titular tem o direito de obter do controlador informações sobre os seus dados pessoais, como a existência ou não de tratamento de seus dados, o acesso e correção de dados, anonimização, bloqueio ou eliminação de dados desnecessários em desconformidade com a LGPD, portabilidade dos dados, dentre outros. De acordo com a professora Viviane Nóbrega Maldonado, “o que se impõe ao controlador é que sempre processe a requisição que lhe é formulada, não sendo admissível ignorá-la, ainda que possa se mostrar ilegítima ou despropositada”.
Um dos primeiros passos e talvez um dos mais importantes e complexos para atender às demandas dos titulares seja a realização de um inventário e mapeamento dos dados pessoais que trafegam na instituição, de forma digital ou não, identificando os processos de trabalho nos quais são coletados e os documentos em que são inseridos. O inventário de dados pessoais, ou data mapping, é um documento que registra como é feito o tratamento de dados pessoais pela instituição, verificando seu alinhamento ao previsto pelo art. 37 da LGPD.
O inventário é uma forma de fazer um balanço do que a organização faz com os dados pessoais, identificando quais dados são tratados, onde estão e quais operações são realizadas com eles e se esse tratamento é baseado no “legítimo interesse”. O documento de mapeamento de dados deve refletir o caminho percorrido pelo dado pessoal dentro da instituição, incluindo os processos e procedimentos pelos quais o dado transita. O documento deve registrar, para cada dado:
(i) o fundamento para sua coleta, a base legal usada para realizar o tratamento do dado pessoal;
(ii) a forma de coleta, se diretamente do titular ou por outras fontes, incluindo coleta não digital;
(iii) a finalidade do tratamento do dado pessoal, de acordo com a LGPD;
(iv) medidas técnicas de segurança para proteção do dado pessoal;
(v) Se há compartilhamento desse dado, que departamentos internos ou outras instituições fazem o tratamento desses dados pessoais;
(vi) descarte do dado, ou seja, quando se dá o término do tratamento desse dado pessoal dentro da instituição.
Desse modo, a instituição terá em suas mãos um panorama geral dos dados pessoais sob sua posse e tratamento, que servirá de subsídio para elaboração do Relatório de Impacto à Proteção de Dados (RIPD), que poderá ser solicitado pela Agência Nacional de Proteção de Dados, conforme art. 382. O RIPD é um documento do controlador – definido no artigo 5º, inciso XVII, da LGPD – que deve conter a “descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Esse relatório poderá ser exigido pela ANPD quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do controlador (art. 10, § 3º) e poderá exigir sua elaboração (art. 38) e publicação a qualquer tempo (art. 32).
As organizações devem, desde já, se organizar para responder às demandas dos titulares dos dados pessoais, com a agilidade necessária. Para isso, ter o inventário de dados pessoais em mãos já é um grande passo. Mesmo que nem todas as solicitações sejam atendidas, é importante receber e tratar todas as requisições, sendo que, em caso de negativa, o controlador deverá sustentar razões relevantes, destacando a base legal do tratamento e justificar sua perfeita e regular continuidade.
Embora essa tarefa seja de certa forma análoga ao que teve que ser feito para atendimento à Lei de Acesso à Informação pelo setor público e até mesmo à instalação de serviços de Ouvidoria pelas organizações em geral, no caso da LGPD a complexidade pode ser maior, pois há necessidade de se saber exatamente que dados pessoais existem na instituição, como e porque eles são tratados e se estão em conformidade com os princípios da finalidade, adequação e da necessidade, já citados neste texto. Nunca é demais destacar que não se trata apenas de dados digitais: a LGPD trata de dados pessoais que existam em qualquer mídia. Com isso, percebemos claramente que o mapeamento de dados, citado com uma das primeiras medidas, se torna fundamental para atendimento às demandas do titular dos dados. Também é importante criar uma infraestrutura tecnológica capaz de permitir que o titular possa enviar suas demandas e exercer seus direitos.
É primordial organizar-se já!
As organizações devem, o quanto antes, adequar procedimentos e sua forma de atuação para se adequarem à LGPD, sem prejudicar sua missão institucional. Mais que isso, devem se organizar para responder às demandas dos titulares dos dados pessoais, com a agilidade necessária. Mesmo que nem todas as solicitações sejam atendidas, é importante receber e tratar todas as requisições, sendo que, em caso de negativa, o controlador deverá sustentar razões relevantes, destacando a base legal do tratamento e justificar sua perfeita e regular continuidade.
No fim, todos, sociedade e governo, ganharão em privacidade, transparência, governança e respeito aos direitos dos titulares.
Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e Colunista da MIT Technology Review.