Por Dr. Paulo Perrotti e Dr. Davis Alves
Como já é cediço, em 18 de setembro de 2020, entrou em vigor a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados) ou, como é conhecida, a LGPD, passando então a surtir efeitos legais e práticos tanto no que diz respeito à Pessoa Jurídica, quanto à Pessoa Física, no que se refere à governança, coleta, tratamento, armazenamento e compartilhamento de dados pessoais de terceiros no Brasil, sejam brasileiros ou estrangeiros.
Esta regulação possui amplo alcance, fazendo com que as empresas, independentemente do ramo de atuação, comecem a estruturar uma estratégia de planejamento sobre a forma de proteção ao tratamento dos dados pessoais de seus clientes, colaboradores, fornecedores e prestadores de serviço, a fim de evitar infrações, que certamente irão culminar em impactos e danos financeiros e reputacionais.
Embora a proteção à privacidade já estivesse devidamente formalizada em nossa Constituição Federal, bem como no Código Civil e no Código de Defesa do Consumidor, assegurando-se a inviolabilidade à intimidade, vida privada, honra e a imagem das pessoas, estabelecendo ainda o direito de requerer indenização pelo dano material ou moral sofrido decorrente de violação, a LGPD surge como forma de embasar não apenas a proteção dos dados pessoais mas, sobretudo, esmiuçar devidamente suas particularidades de forma a manter preservada a privacidade de clientes, colaboradores e cidadãos em geral, bem como seus respectivos poderes de escolha.
Em paralelo, a província de Québec, no Canadá, aprovou recentemente inovações em sua legislação de proteção de dados pessoais, conhecida como Law 25 – An Act to modernize legislative provisions as regards the protection of personal information ou, em uma tradução livre, “Lei 25 – Uma lei para modernizar as disposições legislativas no que diz respeito à proteção de informações pessoais”, trazendo inúmeras alterações e requisitos técnicos que entrarão em vigor em 22 de Setembro de 2023, e que se assemelham às diretrizes e princípios já aclamados em nossa LGPD.
De acordo com as disposições da Lei 25 de Québec, será obrigatório às organizações que exerçam suas atividades em Québec designar um responsável pela privacidade para supervisionar e gerir o tratamento de informações e dados pessoais, equivalente ao Encarregado de Dados exercido no Brasil. Entretanto, a Lei 25 de Québec complementa que esta função será atribuída, por padrão, ao principal executivo da empresa, na ausência ou omissão de um responsável dedicado a zelar pela privacidade na organização.
Ato sequente, a Lei 25 de Québec determina que o responsável pela privacidade de dados da organização, ou o próprio Privacy Officer, como está sendo denominado o cargo de gestor de dados pessoais na província, deve estabelecer e implementar políticas e práticas de governança sobre informações pessoais que assegurem a proteção de tais informações. Tais políticas e práticas deverão, em particular, fornecer uma metodologia formal e auditável para a guarda e descarte dos dados, definir as funções e responsabilidades daqueles que participam do ciclo de vida da informação e fornecer um processo para lidar com reclamações relativas à proteção dos dados pessoais. As políticas e práticas também deverão ser proporcionais à natureza e escopo das atividades da empresa e ser aprovadas pelo responsável pela gestão e proteção dos dados pessoais, que pode ser o próprio Privacy Officer ou, na sua ausência, o principal executivo da empresa. Informações detalhadas sobre essas políticas e práticas, em particular no que diz respeito ao conteúdo exigido, deverão ser publicadas em linguagem simples e clara no site da empresa ou, se a empresa não tiver um site, disponibilizadas por qualquer outro meio apropriado.
Da mesma forma que o Encarregado de Dados no Brasil, de acordo com a LGPD, deve oficiar a Autoridade Nacional de Proteção de Dados (ANPD), bem como os titulares de dados, no caso de uma eventual infração, em Quebéc o responsável pela gestão e proteção dos dados pessoais também deverá notificar a Commission d’accès à l’information e os indivíduos afetados sobre quaisquer incidentes de confidencialidade, incluindo violações de dados de privacidade e acesso/uso/divulgação não autorizados de informações pessoais, além de manter um registo de todos os incidentes de segurança durante um período de, pelo menos, cinco anos.
Assim sendo, o responsável pela privacidade de dados em Québec terá muitos deveres e responsabilidades, incluindo a aprovação de políticas e práticas de privacidade, participação em avaliações de impacto de privacidade, bem como avaliar, gerir e conter os danos causados por um incidente de dados. Acima de tudo, o Privacy Officer será a primeira pessoa a quem todos irão recorrer quando houver infrações de proteção de dados ou privacidade.
Neste contexto, a Lei 25 de Québec traz ainda mais uma inovação, na qual o responsável pela privacidade de dados da empresa deverá realizar uma avaliação de impacto de privacidade em qualquer projeto que envolva um sistema de informação ou eletrônico que realize a coleta, uso, comunicação, manutenção ou descarte de dados pessoais. Para efeitos dessa avaliação, o responsável pela proteção dos dados pessoais da empresa deve ser envolvido desde o início do projeto. Este responsável deve ainda garantir que o projeto permita que os dados pessoais coletados possam ser comunicados ao titular em um formato tecnológico estruturado e comumente usado. A realização de uma avaliação de impacto na privacidade nos termos da Lei 25 de Québec deve ser proporcional à sensibilidade dos dados pessoais, aos fins para os quais serão usados, à quantidade, à distribuição das informações e ao meio em que estão sendo armazenados.
Assim sendo, ainda de acordo com a Lei 25 de Québec, o responsável pela proteção de dados pessoais poderá, em qualquer fase do projeto, sugerir medidas de proteção de dados pessoais aplicáveis, tais como (1) a nomeação de uma pessoa responsável pela implementação das medidas de proteção de dados pessoais; (2) medidas para proteger as informações pessoais em qualquer documento relacionado ao projeto; (3) uma descrição das responsabilidades dos participantes do projeto com relação à proteção de dados pessoais; ou (4) atividades de treinamento para participantes do projeto sobre proteção de dados pessoais.
O fato é que, nos termos da Lei 25 de Québec, qualquer organização que coletar, tratar, armazenar e compartilhar dados pessoais por meios tecnológicos deverá publicar, prioritariamente no site da empresa, uma política de confidencialidade redigida em linguagem clara e simples, devendo realizar o mesmo roteiro, no caso de qualquer alteração de tal política.
Por fim, da mesma forma que a LGPD no Brasil, a Lei 25 de Québec não determinou qualquer tipo de requisito técnico para o desempenho das atividades a serem exercidas pelo Privacy Officer. Mas isso não quer dizer que este profissional deva ser ignorante, omisso, negligente, imperito ou desconhecer as melhores práticas de governança de dados. Muito pelo contrário.
Neste sentido, quando o assunto é LGPD, é possível imputar ao Controlador, bem como ao seu principal executivo, a responsabilidade direta sobre o tratamento conferido por parte do Encarregado de Dados, quando este cargo é ocupado por alguém mal preparado ou sem o conhecimento técnico e regulatório exigidos para o desempenho desta atividade.
Do ponto de vista jurídico, é possível inferir que a LGPD, de forma indireta, estabeleceu a culpa in eligendo e in vigilando ao Controlador, bem com ao seu principal executivo, sobre quaisquer infrações cometidas pelo Encarregado de dados no âmbito da segurança e proteção dos dados pessoais, caso este tenha sido empossado sem qualquer tipo de preparo ou capacitação mínima necessária para o desempenho de suas funções.
Da mesma forma, em Québec, exigir-se-á das corporações uma atitude mais seletiva e criteriosa para indicar, nomear ou delegar as tarefas de tratamento de dados pessoais a profissionais que venham a desempenhar o cargo de Privacy Officer, sob pena de serem responsabilizadas por um ato de negligência, imprudência ou imperícia cometido pelo seu principal executivo.
Por esse motivo, é de extrema importância que exista algum direcionamento mínimo legal para que se possa preservar a tecnicidade tanto do Privacy Officer em Québec, como do Encarregado no Brasil quando esses forem regulamentados em seus respectivos países.
A fim de uma análise bibliométrica e valendo-se do comparado, a Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), a maior representação dos especialistas da LGPD no Brasil publicou o Parecer Técnico Nº 2/2022/ANPPD sobre “REGULAMENTAÇÃO DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO)” na qual propôs as contribuições para normas complementares sobre a definição e as atribuições do encarregado (Art. 41 §3º – LGPD, 2018), e que podem ser utilizadas como mecanismo avaliatório de “estado da arte” para a província de Québec, sendo elas:
- O ENCARREGADO deve orientar os funcionários e contratados do controlador sobre as práticas de privacidade. Referência: Art. 41, 2º, III – LGPD (BRASIL, 2018)
- O ENCARREGADO é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. Referência: Item 67 – ANPD – Guia para os Agentes de Tratamento (BRASIL, 2021)
- O ENCARREGADO deve orientar para que políticas de privacidade previstas no Art. 50, §2º, I, d, explicitem a atividade descrita no Art. 41, §2º, III da LGPD. Referência: LGPD. (BRASIL, 2018)
- O ENCARREGADO deve orientar para a correta implementação dos princípios da LGPD descrito no Art. 6º da LGPD, e às boas práticas e durante o planejamento de sistemas utilizados para o tratamento de dados pessoais. Referência: Art. 49, LGPD. (BRASIL, 2018)
- O ENCARREGADO pode orientar funcionários e contratados em observância às recomendações já definidas no Guia de Orientação para os Agentes de Tratamento publicados pela a ANPD. Referência: ANPD. (BRASIL, 2021)
- O ENCARREGADO deve estar em posição hierárquica que lhe permita dar orientações isentas e com independência para que a organização possa alcançar conformidade com a legislação. Referência: Item 71 – ANPD – Guia para os Agentes de Tratamento (BRASIL, 2021)
- Considera-se importante e boa prática preventiva, que o ENCARREGADO demonstre conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização. Referência: Item 72 – ANPD – Guia para os Agentes de Tratamento (BRASIL, 2021)
- O ENCARREGADO deve manter-se atualizado sobre a LGPD ou outros regulamentos aplicáveis, além das melhores práticas de proteção de dados objetivando maior grau de assertividade em suas orientações profissionais. Referência: GT29 Orientações sobre o DPO, p.17 – GDPR (EUROPA, 2016b)
- Como norma complementar o ENCARREGADO pode demonstrar através de cursos e certificações profissionais sua capacidade técnica para orientações em proteção de dados conforme definido. Referência: Lachoud (2020) CNIL (FRANÇA, 2020)
- O ENCARREGADO deve ter suas orientações formalizadas e divulgadas às áreas organizacionais que executarem atividades de tratamento de dados pessoais. Referência: Art. 41, §1 – LGPD (BRASIL, 2018)
- O ENCARREGADO deve ser o único ponto de contato do controlador ou operador para com a Autoridade Nacional de Proteção de Dados, devidamente já nomeado pela instituição ao qual representará. Referência: Art. 5, VIII – LGPD. (BRASIL, 2018)
- O ENCARREGADO deve verificar se suas as atividades previstas no Art. 41, §2 estão contidas nas políticas internas. Referência: Art. 50, §2, I, a – LGPD. (BRASIL, 2018)
- O ENCARREGADO deve verificar se as orientações referentes as práticas de proteção de dados, foram adotadas pela organização, ou justificadas adequadamente a não adoção. Referência: Privacy Act 2020 (NOVA ZELANDIA, 2020)
- O ENCARREGADO deve verificar formalizar para o controlador e operador as orientações a respeito das práticas de proteção de dados a fim de favorecer a prestação de contas da organização para com a ANPD e ao titular. Referência: Art. 6, X – LGPD (BRASIL, 2018)
- Em cumprimento do Art. 5, VIII, o ENCARREGADO pode cooperar com a ANPD ou outros órgãos competentes fornecendo as documentações solicitadas em caso de investigação. Referência: Capítulo 5, Parte B – POPIA (ÁFRICA DO SUL, 2013)
- O ENCARREGADO deve orientar os funcionários sobre as práticas de proteção de dados através de ações educativas e treinamentos que englobem desde a concepção do tratamento do dado pessoal. Referência: Art. 31 – PIPA (CORÉIA DO SUL, 2011)
- O ENCARREGADO deve executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (Art. 41, §2, IV) que não conflitem com os deveres previstos na LGPD. Referências: Seções 41 e 42 – PDPA (TAILANDIA, 2019)
- O ENCARREGADO deve supervisionar a aplicação das práticas de proteção de dados orientadas para os funcionários e contratados da organização. Referência: Art. 40 (URUGUAI, 2008)
- O ENCARREGADO deve ser envolvido nas atividades que tratem dados pessoais emitindo o parecer técnico quanto aos riscos do tratamento. Referência: Art. 37-39 – GDPR (EUROPA, 2016a)
- O ENCARREGADO colabora com aconselhamentos, quando tal lhe for solicitado, no que respeita o relatório de impacto de proteção de dados e coordenando a sua realização nos termos do artigo 38 da LGPD. Referência: Art. 39, 1c – GDPR (EUROPA, 2016a)
- O ENCARREGADO deve estar vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções quanto as orientações referentes as práticas de proteção de dados contidas no Art. 41, §2, III da LGPD. Referência: 38, 5 – GDPR (EUROPA, 2016a)
Por todos esses motivos, tanto em Québec, quanto no Brasil, ainda não estão estabelecidas formalmente qualquer tipo de qualificação técnica para o DPO/ENCARREGADO, mas uma vez observando os já dispostos no cenário internacional, podem servir como norteador para as atualizações em Québec.
Todas essas observações técnicas são importantes pois, o fato de indicar um profissional despreparado para atender a função de Encarregado de Dados ou de Privacy Officer imputará ao principal responsável pela organização, no mínimo, responsabilidade direta, evidenciando uma inconteste negligência, imprudência ou imperícia quanto ao atendimento dos requisitos legais.
Ademais, é necessário reforçar o fato que a função do Encarregado de Dados e do Privacy Officer não está alheia à qualquer outro tipo de responsabilidade funcional, incluindo infrações cíveis e delitos criminais, que podem ser decorrentes de atos de negligência, imprudência e imperícia em razão de suas atividades, ou mesmo no caso de dolo direto, quando o encarregado realmente objetiva a infração, ou na hipótese de dolo eventual, quando assume o risco de produzi-lo.
Neste sentido, é necessário compreender que a atividade do Encarregado de dados e do Privacy Officer é considerada de meio, e não de fim. Ou seja, o objetivo esperado na prestação do serviço do Encarregado de dados e do Privacy Officer pode não ser necessariamente alcançado, embora deva ser sempre buscado. Assim sendo, a obrigação de meio limita-se a um dever de desempenho, isto é, há o compromisso de agir com zelo, profissionalismo, isenção e diligência, aplicando-se a melhor técnica e perícia para alcançar um determinado fim, mas sem se obrigar à efetivação do resultado.
De forma analógica, o Encarregado de dados e o Privacy Officer devem aplicar seus conhecimentos, capacitação e perícia visando a disponibilidade, preservação, integridade e segurança dos dados pessoais e corporativos, principalmente no ambiente digital. Mas é impossível prever ou estabelecer, de forma absoluta, que todas as diligências empregadas pelo Encarregado de dados e pelo Privacy Officer sejam suficientes para evitar que a empresa venha a sofrer uma infração de dados. É necessário frisar que a implantação de uma governança corporativa de dados pessoais envolve, principalmente, três pilares: pessoas, processos e tecnologia.
Autores:
Paulo Perrotti: Advogado e CEO da LGPD Solution, Membro de Honra da Associação Nacional dos Profissionais de Proteção de Dados (ANPPD), Presidente da Câmara de Comércio Brasil-Canadá de 2017 a 2021, Auditor Líder ISO 27001 (certificação internacional ISO referente a Segurança da Informação), Professor de Cyber Security na Pós Graduação da Faculdade de Engenharia de Sorocaba (FACENS), Professor de Cibersegurança Ofensiva com Certificação (CEH) pela ACADI-TI, com especialização em Direito Canadense e de Québec pela Université de Québec à Montreal – UQÀM, possuindo MBA pela Fundação Getúlio Vargas de São Paulo, especialização em Direito de Informática (LLM) pelo IBMEC/SP, Mercado Financeiro pelo Instituto Finance, Responsabilidade Social pela ESPM/SP, Certified Secure Computer User (CSCU) pela EC-Council e membro da Comissão Especial de Relações Internacionais e da Comissão de Privacidade de Dados da OAB/SP, formado em direito pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Reconhecido como uma das “Cabeças mais Inovadoras” de 2022 pela AAA Inovação (https://aaainovacao.com.br/). Inscrito na OAB seção São Paulo, atuou durante 5 anos como advogado no escritório Pinheiro Neto Advogados, foi consultor jurídico de empresa pertencente ao ramo da Tecnologia da Informação sob controle do Bank Of America e atuou na área de Fusões e Aquisições em empresa própria e de terceiros. Atuou ainda como diretor executivo do Instituto de Desenvolvimento de Marketing – IDM. Foi membro do Conselho do Instituto de Tecnologia de Software – ITS e Secretário do Comitê de Tecnologia da Informação da Câmara de Comércio Brasil / Canadá. É membro do Grupo de Excelência em Estratégia e Planejamento de Administração do Conselho Regional de Administração – CRA, Secção São Paulo. É Árbitro da Câmara de Mediação e Arbitragem Internacional, conveniada à Faculdade de Direito da Universidade de Coimbra/Portugal. Premiado com a Comenda de Valores Jurídicos pela Academia Brasileira de Arte, Cultura e História, bem como Nobre Cavaleiro de São Paulo concedido pela Defesa Civil da Cidade de São Paulo. Possui título de especialização em Business Intelligence pela Dominican College of San Raphael e em Técnicas de Negociação pela Berkley University. É consultor de diversas entidades do Terceiro Setor, com destaque para o ALTIS (Centro de Alta Tecnologia da Inovação em Software), em Salvador/BA; ITS – Instituto de Tecnologia em Software – SP, Sucesu/SP – Sociedade de Usuários de Informática e Telecomunicações de São Paulo, Academia Brasileira de Arte, Cultura e História; Fundação José de Paiva Netto entre outras. Professor de Direito de Informática pela Faculdade Anglo Latino. Autor do Livro “Empresas Familiares – Aspectos Jurídicos e Estratégias Para Uma Boa Gestão” – Editora Thomson-IOB, 2007. Autor da Obra “Manual de Direito Imobiliário – Como Evitar Riscos na Aquisição de Imóveis no Brasil”, bi-língue – Inglês/Português, em conjunto com o Dr. Nivio Terra. Autor das Obras “Forms of Association and Tax System in Brazil”, em Inglês, tiragem própria e “Manual de Fusões e Aquisições”, tiragem própria. Responsável pelo tema ESG (Environment, Social and Governance) do Blockchain Research Institute (BRI) no Brasil e colunista fixo dos Portais Procurement Digital (https://procurementdigital.com.br/) e SolutionHub (https://solutionhub.com.br/), também sobre o tema ESG. Organizador e Autor do livro “ESG – Reflexões Jurídicas para Sua Compreensão”, obra produzida pela Comissão de Relações Internacionais da OAB/SP, Editora Arraes. Fluência em Inglês e Francês.
Dr. Davis Alves: Doutor em Administração de TI – Ph.D na Florida Christian University (EUA) convalidado no Brasil, Mestre em Administração com foco em TI Verde (2015), Extensão em Gestão de TI pela FGV/SP (2011), Pós-graduado em Gerenciamento de Projetos (2009), Graduado em Redes de Computadores e Internet (2008). Residiu para estudos nos Estados Unidos e Nova Zelândia. Possui as certificações PMP® | ITIL® Expert, ITIL® Professional (4 MP), COBIT®, ISO-20000®, ISO-27002®, EXIN® Agile Scrum Master, Lean IT, Green IT, ICS MCSA® Windows Server 2003, Cloud Computing, EXIN® Data Protection Officer (DPO), & EXIN ISO-27001 Professional (ISMP), Cyber Security, Psicanalista, Ethical Hacker (Human Hacking através da Fisiognomonia), DAC® Wireless, DCP® Switching, DSS® IP Surveillance. É consultor de Gestão de Sustentabilidade de TI, com produtos e consultorias em Green IT para órgãos públicos municipais do Brasil, além de Consultor em Privacidade de Dados (LGPD).
🥇Em 2019 assumiu como Presidente da ANPPD®. Figura como DPO pioneiro no Brasil na área de Segurança da Informação & Ethical Hacker tendo formado mais de 5,5 mil DPOs no país.
🏅Em 2020 recebeu o título de Membro de Honra da Digital Law Academy integrando o seleto grupo do Conselho Superior, onde reune os mais respeitados juristas federais, desembargadores, e grandes nomes do Direito Digital.
🏅Em 2022 assumiu como Colunista de Tecnologia & Segurança da Informação no Grupo Jovem Pan, juntando-se aos maiores influenciadores do Brasil.
🏅Membro e Coordenador do Conselho Nacional de Proteção de Dados (CNPD), nomeado pelo Presidente da República do Brasil 🇧🇷
🏅Em 2023 fundou o PrivacyCafé® – Clube de Debates Avançados que reune profissionais selecionados já atuantes na área para aprofundar os temas de Privacidade, Tecnologia, Cibersegurança e Psicanálise (https://privacycafe.com.br)
Atuou como sócio-gerente na Millennium Hardware responsável pela coordenação técnica de projetos de infra-estrutura de TI, além de professor acadêmico para Gestão de Serviços, Segurança da Informação e Redes de Computadores na Universidade Paulista – UNIP, Universidade Municipal de São Caetano do Sul – USCS (professor concursado), Universidade Federal de São Carlos – UFSCar e DARYUS/Faculdade Impacta. Academicamente é membro do Congresso Científico Internacional POMS nos Estados Unidos. Já no Brasil faz parte do Núcleo Desenvolvedor Estruturante da UNIP do curso superior de Tecnologia em Redes de Computadores, responsável pela adequação do curso junto ao MEC. Também responde como instrutor credenciado pelo EXIN/PeopleCert com foco em ITIL®, GDPR, ISO-27001, Green IT, além de pesquisador e palestrante em diversos eventos científicos internacionais relacionados com TI Verde & GDPR na Espanha, Holanda e Estados Unidos – tendo seus estudos publicados nesses países.