Publicado originalmente no Migalhas em 29/01/2021.
Créditos da foto: Pexels.com
É notório que a Lei Geral de Proteção de dados – lei 13.709/18 (LGPD) – se aplica tanto ao setor privado, quanto ao setor público. Contudo, a LGPD não é a primeira e única legislação a tratar da proteção de dados pessoais. Silva (2020) argumenta que “já havia leis que abrangiam os temas tratados na LGPD; no entanto, a lei veio para consolidar um microssistema de tratamento desses dados: quem, como, quando, onde, porque, com que fim podem ser usados esses dados.” E o impacto no setor público é grande, uma vez que uma “enorme quantidade de dados pessoais e dados sensíveis estão sob domínio do Poder Público, como informações financeiras e fiscais (Imposto de Renda), de educação (histórico escolar), de saúde (prontuário médico), de consumo (Nota Fiscal Paulista), entre inúmeras outras” e que, por anos, a “Administração Pública coletou dados de maneira indiscriminada e sem se preocupar com a finalidade, segurança ou privacidade das informações” (BARBOSA; OLIVEIRA, 2020). Em todo esse contexto, a LGDP define a figura do encarregado pelo Tratamento de dados Pessoais, função similar ao Data Protection Officer – DPO, definido pela legislação europeia.
Contudo, a legislação brasileira não define critérios claros de obrigatoriedade da existência do encarregado nas empresas ou instituições públicas, diferentemente da lei europeia1. Silva (2020) destaca que “a lei atribui a responsabilidade ao controlador e ao operador, mas não ao encarregado. Isso porque, em algumas hipóteses, pode não haver a figura do encarregado”. A definição de critérios de obrigatoriedade ficaria a cargo da Agência Nacional de Proteção de dados – ANPD, conforme § 3º do artigo 412.
- Responsabilidades do encarregado de dados
O § 2º do artigo 41 da LGPD define, de forma não exaustiva, as principais responsabilidades do encarregado de dados3. Contudo, Bruno (2019) relaciona as principais responsabilidades, de forma mais detalhada:
a) Interagir com os titulares dos dados pessoais, inclusive prestando esclarecimentos, e adotando providências necessárias em razão desses contatos ou reclamações dos titulares;
b) Interagir com a ANPD, sendo inclusive o ponto de contato para recebimento das comunicações da Autoridade, e responsável por adotar as providências requeridas;
c) Orientar os colaboradores da entidade a respeito das práticas relacionadas à proteção de dados pessoais;
d) Executar todas as atribuições determinadas em normas complementares, da ANPD ou outros órgãos;
e) Assessorar os responsáveis pelo tratamento de dados pessoais na emissão de relatórios de impacto à proteção de dados pessoais, emitindo opiniões e pareceres que possam embasar tais relatórios;
f) Monitorar a conformidade das atividades de tratamento de dados pessoais com a regulamentação e as normas vigentes;
g) Cooperar com a ANPD, sempre que demandado;
h) Recomendar a realização de relatórios de impacto à proteção de dados pessoais, ou não, inclusive sobre a metodologia de sua realização;
i) Recomendar as salvaguardas para mitigar quaisquer riscos aos direitos dos titulares de dados pessoais tratados pela empresa, inclusive salvaguardas técnicas e medidas organizacionais;
j) Decidir sobre a adequação dos relatórios de impacto à proteção de dados, e se as conclusões estão de acordo com a regulamentação, ou não.
Podemos notar que as responsabilidades de um encarregado permeiam várias áreas do conhecimento, como de legislação, privacidade e proteção de dados, tecnologia da informação, segurança da informação, metodologias de análise de risco e governança, administração e atendimento às demandas internas e externas. A designação do encarregado pelas instituições deve ser baseada nas qualidades profissionais do indicado, especialmente conhecimento sobre privacidade e proteção de dados. Quanto mais complexas forem as atividades de tratamento de dados realizadas pela instituição, maior deverá ser o nível de conhecimento técnico do encarregado (BRUNO, 2019).
Opice Blum (2020) argumenta que o encarregado pode ser responsável por cumprir o princípio da responsabilização e prestação de contas, previsto no art. 6º, inciso X4, da LGPD, gerando evidências de conformidade, como relatórios de impacto à proteção de dados, geração de indicadores, registro das atividades de tratamento, atas de reunião do Comitê de Privacidade, dentre outras.
- Perfil e competências de um encarregado de dados
Embora a LGPD não defina claramente a obrigatoriedade da existência de um encarregado de dados, algumas instituições da Administração Pública têm se adiantado nomeando seus encarregados, de forma voluntária. Há também normas infralegais que tratam do assunto, como a Instrução Normativa SGD/ME 117 do Ministério da Economia. Tal Instrução estipulou prazo e perfil para que os órgãos e entidades da administração pública federal direta, autárquica e fundacional definam seus encarregados (MINISTÉRIO DA ECONOMIA, 2020). A Instrução define os conhecimentos técnicos necessários para exercer o papel de encarregado: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público. O prazo definido na Instrução para que o encarregado seja indicado e tenha seu nome divulgado nos sites institucionais é de 30 dias contados de sua vigência.
O Tribunal de Contas da União, por sua vez, atribuiu à Ouvidoria a responsabilidade pelo papel de encarregado de dados. Tal atribuição foi feita por meio da portaria-TCU 142, de 25 de setembro de 2020, com base em relatório do Grupo de Trabalho que foi constituído para avaliar o impacto da LGPD naquela corte de contas (Tribunal de Contas da União, 2020). Tal decisão reforça a definição de que o encarregado seria um canal interativo entre os atores afetados pela LGPD (SILVA, 2020) e que a Ouvidoria já faz tal papel em relação a outras legislações que tratam de dados, como a Lei de Acesso à Informação.
- Conflito de interesse
O encarregado pode ser um colaborador da instituição ou um terceiro contratado, inclusive, uma empresa. No entanto, é importante evitar o conflito de interesses das atribuições do encarregado com outras funções que ele eventualmente exerça na instituição. Uma das atribuições do encarregado é verificar se as atividades de tratamento de dados executadas pela instituição estão de acordo com o previsto na LGPD. Assim, se o encarregado é responsável pelo tratamento de dados em sua instituição, sua atividade de monitoramento da conformidade gera um conflito de interesse, podendo fazer com que a instituição não atenda plenamente à legislação. Por exemplo, se o encarregado de dados for o mesmo colaborador responsável por definir e especificar soluções de TI para a empresa haverá conflito, pois ele deverá fiscalizar a si mesmo à luz da LGPD. Assim, o princípio da segregação de funções deve ser observado para evitar conflitos de interesses na designação do encarregado de dados, de forma que ele não acumule posições na instituição que o “leve a determinar os propósitos e meios relacionados ao tratamento de dados pessoais” (BRUNO, 2019).
Nesse sentido, a Instrução Normativa SGD/ME 117 (MINISTÉRIO DA ECONOMIA, 2020) veda expressamente que o encarregado seja lotado nas áreas de Tecnologia da Informação ou mesmo que seja gestor responsável por sistemas da instituição.
Outro ponto que merece destaque é a posição da função de encarregado de dados dentre da estrutura organizacional da empresa. Bruno (2019) defende que o cargo deve ser desvinculado das áreas tradicionais da empresa, com reporte direto à Diretoria e Presidência, com todos os recursos necessários à execução de suas atividades. A instrução normativa 117 define que o encarregado deve ter acesso direto à Alta Administração5 da instituição.
Fato é que o encarregado de dados deve ter uma função relevante no âmbito das instituições, especialmente no árduo caminho de adequação à LGPD. Justamente por isso, ele deve ter autonomia, independência, bom nível de conhecimento das matérias envolvidas no tema e acesso direto à cúpula da instituição.
- Considerações Finais
Há diversas ações que podem (e devem) ser tomadas pela Administração Pública para, desde logo, caminhar para a conformidade com a LGPD. A indicação de um encarregado, mesmo antes da definição de critérios de obrigatoriedade pela ANPD, é uma dessas ações. Importante é que o encarregado tenha autonomia, acesso à alta administração, independência e todos os recursos necessários para executar suas funções de forma plena. Além disso, conforme § 1º do artigo 41 da LGPD, a identidade e informações de contato do encarregado devem ser publicadas no sítio eletrônico do controlador, para que ele possa ser facilmente encontrado, tanto pela ANPD, quanto pelos titulares dos dados e demais interessados.
A LGPD veio para ficar e todos, sociedade e governo, serão beneficiados em relação à privacidade e proteção dos dados pessoais.
1 Segundo Bruno (2019), a regulamentação europeia (GDPR) traz critérios objetivos que obrigam a nomeação do DPO, sendo eles:
(a) Tratamento efetuado por autoridade ou organismo público, excetuando tribunais no exercício de sua função jurisdicional;
(b) Atividade principal que importe em tratamento de dados pessoais com controle regular e sistemático dos titulares de dados em grande escala; e
(c) Atividade principal que importe em tratamento de dados sensíveis, especificamente de origem racial ou étnica, opinião política, convicção religiosa ou filosófica, filiação sindical, bem como dados genéticos, biométricos, e dados relativos à saúde, à vida sexual, ou orientação sexual, ou dados pessoais relativos a condenações penais e infrações.
2 § 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
3 § 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
4 X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
5 Alta Administração é definida no Parágrafo único do Art. 3º:
“Parágrafo único: Para fins do inciso I do caput do art. 3º, considera-se como alta administração os Ministros de Estado, ocupantes de cargos de natureza especial, os ocupantes de cargo de nível 6 do Grupo-Direção e Assessoramento Superiores – DAS e os presidentes e diretores de autarquias, inclusive as especiais, e de fundações públicas ou as autoridades de hierarquia equivalente.”
BARBOSA, Daniela B.; OLIVEIRA, Victor F. LGPD: a necessidade de proteção dos dados do setor público. O Estadão. São Paulo. 12 set. 2020. Disponível clicando aqui. Acesso em: 25 dez. 2020.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de dados Pessoais (LGPD). Disponível clicando aqui. Acesso em: 25 dez. 2020.
BRUNO, M.G.S.. Dos Agentes de Tratamento de dados Pessoais. IN: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coordenadores.). LGPD: Lei Geral de Proteção de dados Comentada. São Paulo: Thomson Reuters Brasil, 2019, p. 215-244.
MINISTÉRIO DA ECONOMIA. Instrução Normativa SGD/ME nº 117, de 19 de novembro de 2020. Dispõe sobre a indicação do encarregado pelo Tratamento dos dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional. Brasília, 20 nov. 2020. n. 222, Seção 1, p. 92-92. Disponível clicando aqui. Acesso em: 25 dez. 2020.
OPICE BLUM (São Paulo). Melhores práticas de Governança e Conformidade com a LGPD. 2020. Disponível clicando aqui. Acesso em: 25 dez. 2020.
SILVA, Andressa Carvalho da. Lei Geral de Proteção de dados e a Responsabilidade Estatal: implicações no âmbito dos tribunais de contas. 2020. 73 f. Monografia (Especialização) – Curso de Direito Público, Universidade de Caxias do Sul, Porto Alegre, 2020.
TRIBUNAL DE CONTAS DA UNIÃO. Portaria-TCU nº 142, de 25 de setembro de 2020. Atribui à Ouvidoria o exercício das atividades de encarregado pelo tratamento de dados pessoais, em observância ao disposto na Lei Geral de Proteção de dados. Brasília, 28 set. 2020. Ano 53, n. 184, p. 1-1. Acesso em: 25 dez. 2020.
Epa! Vimos que você copiou o texto. Sem problemas, desde que cite o link: https://www.migalhas.com.br/depeso/339636/o-encarregado-de-dados-no-setor-publico
Uma das perguntas mais comuns sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD) era: Seriam os funcionários agentes de tratamento de dados pessoais?
Pois bem, uma das funções da Autoridade Nacional de Proteção de Dados (ANPD) é a regulamentação e uniformização de entendimento da LGPD. E a autoridade brasileira, ciente das diversas discussões e interpretações sobre o tema, publicou, no último dia 27 de maio, o seu primeiro Guia Orientativo, definindo claramente as atribuições dos agentes de tratamento – controlador e operador – e o papel do encarregado de dados. O Guia Orientativo para Definições de Agentes de Tratamento de Dados Pessoais e do Encarregado[1], que está disponível na página web da ANPD, clarifica qual é o papel dos servidores e funcionários à luz da LGPD, preenchendo lacunas que davam margem a interpretações conflituosas.
Agentes de tratamento, por definição, são aqueles que exercem o papel de controlador ou operador de dados pessoais. Pela LGPD, os agentes podem ser pessoas naturais ou jurídicas, de direito público ou privado. Até aqui, tudo como está na letra da lei. Mas funcionários e servidores públicos podem ser considerados controladores ou operadores?
Pessoas naturais podem ser agentes de tratamento – operadoras ou controladoras. A principal diferença entre controlador e operador é o poder de decisão que compete ao primeiro. O operador só pode fazer o que o controlador definir em relação à finalidade e elementos essenciais para isso. Segundo o guia, pessoas naturais exercem o papel de controlador quando agirem “de acordo com os próprios interesses, com poder de decisão sobre as finalidades e elementos essenciais de tratamento”.
Pessoas naturais serão operadoras quando “atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento”. Por exemplo, um médico ou advogado, como profissionais liberais, que lidam com informações pessoais de pacientes ou clientes, estão atuando como controladores e como operadores, ao tratem tais dados pessoais. Contudo, esse não é o caso de um servidor público ou funcionário de uma entidade. Segundo o guia divulgado pela ANPD, “não são considerados controladores ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento”.
Até a publicação desse Guia Orientativo, havia interpretações diferentes quanto ao papel dos servidores e funcionários. O Ministério Público do Estado do Rio Grande do Sul, por exemplo, definiu por meio Provimento nº 68/2020[2] que todos os seus membros, servidores e estagiários são considerados operadores de dados pessoais[3]. O Tribunal de Justiça do Distrito Federal e dos Territórios, por sua vez, estabeleceu, por meio da Resolução nº 09, de 2 de setembro de 2020[4], que o seu presidente é controlador e que os vice-presidentes e o corregedor são “controladores-adjuntos”. Além disso, o TJDFT definiu que todos os servidores e terceirizados são operadores[5] e chegou a classificar os operadores em 3 níveis[6], com estabelecimento de revisão do fluxo de tratamento entre esses níveis de “operador”.
Com o Guia Orientativo recém-publicado, a ANPD vem esclarecer um ponto que tem sido alvo de calorosos debates na sociedade civil. Contudo, a responsabilidade pela proteção de dados pessoais vai além dos papéis definidos pela LGPD. O fato de o funcionário ou servidor não serem enquadrados como operadores ou controladores não os isenta da responsabilidade de zelar pela proteção dos dados pessoais com os quais eles trabalham. É fundamental que todos busquem criar uma cultura de proteção de dados, aprimorando um olhar clínico para identificar os limites de sua atuação dentro de suas atribuições e de acordo com as diretrizes do controlador. Todos devem atuar pautados pelos princípios da LGPD – especialmente a finalidade, adequação e necessidade –, visando ao atendimento dos parâmetros definidos pelo controlador. Assim, os titulares dos dados terão todos os seus direitos respeitados.
*Fábio Xavier é Diretor de TI no Tribunal de Contas do Estado de São Paulo
Bibliografia
[1] https://www.gov.br/anpd/pt-br/assuntos/noticias/2021-05-27-guia-agentes-de-tratamento_final.pdf
[2] https://www.mprs.mp.br/legislacao/provimentos/14204/
[3] Art. 6.º No âmbito do Ministério Público do Estado do Rio Grande do Sul, os operadores de dados pessoais são os membros, servidores e estagiários da Instituição.
[4] https://www.tjdft.jus.br/publicacoes/publicacoes-oficiais/resolucoes-do-pleno/2020/resolucao-9-de-02-09-2020
[5] Art. 5º No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais – CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.
[6] Art. 7º No Tribunal, os operadores são organizados em níveis:
I – Nível 1: os operadores do nível 1 são os supervisores e seus subordinados;
II – Nível 2: os operadores do nível 2 são os subsecretários, os coordenadores e os titulares dos núcleos permanentes;
III – Nível 3: os operadores do nível 3 são os componentes da Administração Executiva, os secretários, os magistrados, os assessores de gabinete e os diretores de secretaria responsáveis pela gestão finalística.