Valor Econômico, v. 20, n. 4807, 03/08/2019. Legislação e Tributos, p. E2

Requisitos do 'Data Protection Officer'
Felipe Palhares 


 

No dia 08 de julho, o presidente Jair Bolsonaro sancionou o Projeto de Lei de Conversão nº 7/2019 (oriundo da Medida Provisória nº 869/2018), tornando definitiva a redação da Lei Geral de Proteção de Dados Pessoais (LGPD). A sanção, no entanto, foi acompanhada por alguns vetos relevantes, entre eles o do parágrafo 4º do artigo 41 da LGPD, que trazia requisitos para o exercício da função de Encarregado, cargo equivalente ao Data Protection Officer (DPO) previsto no GDPR.

O encarregado é o profissional que fará a ponte entre o controlador (ou operador) de dados, o titular dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), receberá as reclamações relativas ao tratamento de dados pessoais e responderá a tais insurgências, fazendo as comunicações necessárias à ANPD e instruindo os demais funcionários da organização sobre as regras de proteção de dados pessoais.

No âmbito do GDPR, controladores e operadores de dados pessoais somente precisam nomear um DPO em determinados casos, como quando uma de suas atividades principais consiste no monitoramento constante e em larga escala de indivíduos. De forma diversa, a LGPD obriga todos os controladores a indicarem um Encarregado, indiferentemente de qualquer critério. Embora a ANPD possa, posteriormente, determinar em quais casos será admitida a dispensa de sua indicação, por enquanto a nomeação de um DPO é inevitável.

Os vetos trazidos não deixam de ser preocupantes para o posicionamento do Brasil no contexto global da proteção de dados

O PLC nº 7/2019 adicionava um parágrafo 4º ao artigo 41 da LGPD, estabelecendo que o Encarregado deveria ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados de proteção de dados. Eram requisitos relevantes para a nomeação de um DPO, na medida em que confirmavam que referida pessoa teria conhecimento sobre o tema e familiaridade com o modelo regulatório previsto, podendo exercer as atribuições do cargo com eficiência.

Diferentemente do que alegado por alguns críticos da referida redação, tais requisitos não criavam uma reserva de mercado para advogados ou bacharéis de direito. Em nenhum momento era cobrado sequer diploma universitário para exercer a função. Conhecimento sobre a lei e sobre o modelo regulatório pode ser obtido por qualquer indivíduo, indiferente de sua formação acadêmica ou profissional, desde que se dedique a estudar a temática com profundidade. Basta ver que boa parte dos concursos públicos exigem conhecimentos jurídicos em suas provas, mesmo para cargos de nível médio, e nem por isso são vistos como contrários ao interesse público ou como medidas de rigor excessivo, dois pontos abordados nas razões de veto ao parágrafo 4º.

Na forma da redação final da LGPD, haverá situações no mínimo inusitadas em relação ao DPO: a padaria da esquina está obrigada a nomear um Encarregado e o próprio padeiro poderá exercer essa função, mesmo que não possua qualquer conhecimento sobre o tema.

Frise-se que o problema da assertiva acima não está no fato de o padeiro poder ser DPO, mas no aspecto de não precisar comprovar qualquer conhecimento na área para assumir a função. Será que o Estado permitiria que um tradutor juramentado tomasse posse no cargo sem comprovar domínio da língua estrangeira que pretende traduzir? Não parece ser o caso, assim como não parece produtivo permitir a nomeação de um Encarregado sem conhecimento em proteção de dados pessoais.

O veto ao parágrafo 4º também derruba outros dois aspectos relevantes em relação ao Encarregado: a possibilidade de indicação de uma única pessoa para exercer o cargo em nome de várias empresas do mesmo grupo econômico e a garantia de autonomia técnica e profissional no exercício do cargo. Embora tais disposições possam ser alvo de futura regulamentação por parte da ANPD, a sua inclusão era relevante, garantindo maior tranquilidade a multinacionais na escolha de um só Encarregado para suas subsidiárias no Brasil, bem como evitando que o Encarregado pudesse ser uma função meramente ilustrativa, sem qualquer autonomia concreta.

Vale mencionar que ambos aspectos estão expressamente previstos no GPDR, o que deixa a LGPD cada vez mais longe das previsões de sua fonte de inspiração, possivelmente até dificultando uma decisão da Comissão Europeia identificando o Brasil como jurisdição adequada para o livre trânsito internacional de dados pessoais, fator de extrema relevância para que o país se mantenha competitivo face a outras nações. A distância entre o GDPR e a LGPD no que tange ao DPO é ainda mais evidente quando se observa que o Regulamento Europeu determina não só que o DPO tenha conhecimentos específicos na área, mas também que o controlador ou operador que o nomeou disponibilize os recursos necessários para que ele mantenha seus conhecimentos atualizados.

Em linhas gerais, a sanção presidencial é positiva, pois enfim cria a ANPD e põe fim ao processo legislativo tumultuado da LGPD. Contudo, os vetos trazidos não deixam de ser preocupantes para o posicionamento do Brasil no contexto global da proteção de dados pessoais, especialmente os que dizem respeito aos requisitos (ou a falta deles) para o exercício do cargo de Data Protection Officer ou Encarregado.