A importância do Encarregado de Dados para o Terceiro Setor
Por Laís de Figueirêdo Lopes e Carolina Margonari
Desde agosto de 2021¹, com a entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”), as organizações da sociedade civil (OSC) estão buscando realizar sua adequação interna para melhor processamento dos dados pessoais. Após dois anos de vigência da LGPD, existem ainda dúvidas relevantes sobre diversos pontos trazidos pela lei, entre eles, sobre o Encarregado.
Além de criar uma área nova, a LGPD acrescentou ao mercado de trabalho uma nova modalidade profissional, a do Encarregado de Proteção de Dados Pessoais, já prevista recentemente na Classificação Brasileira de Ocupações do Ministério do Trabalho e Previdência. Na legislação europeia esse profissional é conhecido como Data Protection Oficer (DPO). No Brasil, tanto o termo Encarregado, Encarregado de Dados ou DPO são utilizados para identificar esse profissional².
As organizações da sociedade civil possuem uma forte relação com dados pessoais. Sem a utilização desse tipo de informação elas não conseguem cumprir o papel para o qual foram criadas sendo, pois, imprescindível o processamento de dados pessoais³.
Com base nas diretrizes da LGPD, esse profissional precisa ser apontado pelo Controlador. Por isso as organizações necessitam realizar a indicação do Encarregado, que possui um papel importantíssimo durante os desafios apresentados em um programa de governança com foco em proteção de dados.
No Brasil, existe uma exceção para os agentes de pequeno porte que ficam dispensados da indicação deste profissional, conforme previsão dos incisos I e II do art. 3º da Resolução nº 2 (27 de janeiro de 2022) da Autoridade Nacional de Proteção de Dados (ANPD)⁴. Para as organizações se enquadrarem nesta hipótese, devem observar se tiveram, no ano anterior, receita menor que o valor teto da micro e pequena empresa (R$ 4.800.000,00) ou que não têm alto grau de risco e de volume de dados. Mesmo se puderem se abster de indicar um Encarregado, a ANPD reforça como “política de boas práticas e governança” a indicação deste profissional⁵.
Se a organização não se enquadrar na hipótese de dispensa citada acima, possui a obrigação legal de nomear uma pessoa para ocupar essa posição. O Encarregado pode ser absorvido internamente com a designação de uma pessoa que já faz parte da equipe de trabalho da organização ou existe a possibilidade de se indicar um terceiro para assumir esse papel dentro da organização. No mercado de proteção de dados há profissionais que são indicados como DPOaaS (DPO as a Service), como um serviço equiparado a uma consultoria externa.
Existe ainda uma alternativa, em que as funções do Encarregado são exercidas por um órgão colegiado que pode ser intitulado, por exemplo, de Comitê de Dados⁶, ou algo semelhante. Para organizações da sociedade civil e órgãos públicos este terceiro modelo tem sido bastante utilizado.
Conforme descrito no artigo 41 da LGPD⁷, o Encarregado possui determinadas funções como intermediar a relação entre o Controlador, ANPD e o titular de dados. Ser o ponto de apoio dos integrantes da organização e terceiros sobre questões envolvendo proteção de dados, apoiar as determinações feitas pelo Controlador e demais indicadas em normas complementares são as atividades definidas em lei.
No geral, o profissional não realiza a adequação da organização à LGPD, tarefa que normalmente é realizada por outro time externo de apoio. Mas podem ter casos em que, excepcionalmente, a mesma pessoa ou grupo de pessoas realizam a adequação. Tudo depende do tamanho da organização, da complexidade de sua atuação em relação a dados pessoais, volumetria e sensibilidade dos dados tratados.
O Encarregado ou o Comitê da organização, seja externo ou interno, deve acompanhar o projeto de adequação, apoiar as atividades auxiliando no engajamento interno e na busca de informações. Após a finalização do projeto, com os novos processos, documentos definidos e colocados em prática, o ponto focal para a LGPD será o responsável por realizar o monitoramento do bom andamento dos processos e documentos criados, como por exemplo, o aviso de privacidade do site, a política interna de privacidade e o mapeamento, que são considerados documentos vivos e que necessitam estar atualizados conforme as atividades das organizações. Para esta fase de realização dessas atualizações, o profissional pode contar com assessoria ou mentoria.
Importante registrar que, mesmo antes da entrada em vigor da LGPD, as organizações da sociedade civil já possuíam obrigações legais de transparência em suas atividades em maior ou menor grau, a depender de suas atividades e fontes de financiamento. Com a LGPD, houve um acréscimo na lista de normas aplicáveis às OCS. A lei trouxe a necessidade de adoção de novos processos, criação de novas práticas e elaboração de documentos para que as atividades envolvendo tratamento de dados pessoais estejam em conformidade com a legislação vigente. O Encarregado tem esse papel de guardião e mobilizador de processos internos de manutenção dessa adequação.
Em nossa visão, esta camada regulatória adicional representa um reforço na responsabilidade de prestação de contas e de boa imagem. Respeitar os titulares de dados, agir em conformidade legal e colocar a LGPD em prática é garantir o direito humano fundamental de proteção de dados, positivado em nossa Constituição Federal pela EC 115/22. Muitas ainda estão no início deste processo de aprendizagem, mirando nesta uma oportunidade de aprimoramento de práticas de gestão da organização.
— -
Laís de Figueirêdo Lopes - Sócia de SBSA Advogados. Doutoranda em Direito Público pela Universidade de Coimbra e Mestre em Direito pela PUC/SP. Presidente da Comissão de Direito do Terceiro Setor da OAB/SP e membro consultora da Comissão Especial do Direito do Terceiro Setor do Conselho Federal da OAB. Ex Assessora Especial do Ministro-Chefe da Secretaria-Geral da Presidência da República (2011 a 2016) para temas de regulação de organizações da sociedade civil. Professora em cursos de pós-graduação e extensão da PUC/SP, e integrante do NEATS - Núcleo de Estudos Avançados do Terceiro Setor da PUC/SP.
Carolina Margonari - Advogada de SBSA Advogados na área de Propriedade Intelectual, Contratos, e Proteção de Dados, com experiência em adequação à Lei Geral de Proteção de Dados (LGPD), trabalhando diretamente com organizações da sociedade civil de diversos setores e tamanhos. Possui certificação Data Privacy Brasil. É coordenadora do projeto Fellows 2023 do Instituto Nacional de Proteção de Dados (INPD), autora de diversos artigos sobre proteção de dados, e membro da Comissão de Direito do Terceiro Setor da OAB/SP.
1. “Lei Geral de Proteção de Dados Pessoais completa quatro anos com avanços e desafios” Fonte: Agência Câmara de Notícias. https://www.camara.leg.br/noticias/904176-lei-geral-de-protecao-de-dados-pessoais-completa-quatro-anos-com-avancos-e-desafios/#:~:text=Embora%20tenha%20sido%20publicada%20em,aplicados%20h%C3%A1%20apenas%20um%20ano. Acesso em 27 de maio de 2023.
2. Margonari, C. (s.d.). “O papel do Encarregado dentro do Projeto de Adequação à LGPD.” Fonte: Tech Compliance https://techcompliance.org/encarregado-de-dados/. Acesso em 27 de maio de 2023.
3. Margonari, C. (s.d.). “Proteção de Dados dentro das Organizações da Sociedade Civil” Fonte: Tech Compliance https://techcompliance.org/organizacoes-da-sociedade-civil/. Acesso em 27 de maio de 2023.
4. Margonari, C. (s.d.). “A Resolução nº 2 da ANPD e o Terceiro Setor” Fonte: Tech Compliance https://techcompliance.org/terceiro-setor-lgpd/. Acesso em 27 de maio de 2023.
5. §2º, Art.11 da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019#wrapper
6. LOPES, Laís de Figueirêdo; CEZARINO, Maraísa Rosa. LGPD e compliance: o encarregado de dados e o canal de denúncias nas organizações da sociedade civil. Migalhas. São Paulo. 09 jul. 2021. Disponível em: https://www.migalhas.com.br/depeso/348247/lgpd-e-compliance
7. Lei Geral de Proteção de Dados - Lei nº 13.709 de 14 de agosto de 2018. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm