Em princípio, toda e qualquer organização, independentemente do seu tamanho, deve indicar um encarregado. Isso porque, embora a LGPD preveja a possibilidade da dispensa, de acordo com a natureza e o porte ou o volume de operações de tratamento de dados, esta depende de regulamentação por parte da ANPD (Autoridade Nacional de Proteção de Dados), que se consolidou com a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022 (regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte).
Embora a lei não apresente detalhes sobre o tema, a autoridade de dados trouxe contribuições importantes através de um guia. Segundo a ANPD, o encarregado pode ser tanto um funcionário da empresa quanto um terceiro, inclusive uma pessoa jurídica, o importante é que o indicado possua conhecimento mínimo sobre o tema, bem como liberdade para exercer as suas atribuições.
Na prática, considerando o custo de contratar uma pessoa para desempenhar exclusivamente o papel de encarregado, o que tem sido visto é a indicação de um colaborador que passa, então, a acumular funções na organização. Ocorre que, apesar de ser algo comum no mundo real, esse acúmulo pode não ser recomendável.
O problema é que, com frequência, verifica-se a existência de um claro conflito de interesses entre as funções desempenhadas pelo colaborador que acumula a função do encarregado. O tal do conflito acontece quando a mesma pessoa que executa as atividades é responsável por fiscalizá-las, o que acaba por implicar em uma “autoavaliação” sobre a incompatibilidade ou não.
Aqui, vale um exemplo clássico para ilustrar: se o responsável pelo setor de TI (tecnologia da informação) possui a função de definir e implementar as soluções tecnológicas aplicáveis ao tratamento de dados pessoais, este não poderá ser nomeado como encarregado, tendo em vista que, se assim fosse, ele estaria fiscalizando o seu próprio trabalho, o que, nem de longe, parece ser uma análise imparcial.
O perfil desejado para o encarregado de proteção de dados pessoais (DPO) é o de um profissional híbrido que, independentemente de sua origem, precisará expandir seu conhecimento para outra área. Essa necessidade é o motivo para uma certificação tão completa como DPO, que envolve segurança da informação, legislação e estabelecimento de um sistema de gestão para garantir que a privacidade e proteção de dados seja parte do cotidiano da instituição, e não apenas um projeto.
De toda forma, como não há exigências para se tornar um encarregado (DPO), espera-se do profissional conhecimentos jurídicos a respeito da legislação de proteção de dados, não se limitando apenas à LGPD, mas também conhecimentos sobre segurança de informação.
Além disso, é importante que o encarregado também tenha conhecimentos de governança e boa capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área jurídica, tecnológica, financeiro, marketing, comercial e recursos humanos.
Para que a LGPD seja cumprida de forma correta, é necessário que o encarregado seja o principal ponto de apoio do controlador.
Mesmo que ainda não tenha sido avaliado na prática no Brasil como vai funcionar a figura do DPO, já é possível concluir que será uma peça-chave para a adequação da empresa à legislação e para as atividades relacionadas ao tratamento de dados pessoais de seus clientes, funcionários e fornecedores.
Na definição do artigo 5º, inciso VIII, da LGPD, o encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)“.
Em outras palavras, um DPO não pode ocupar uma posição em uma organização na qual tenha “autoridade para decidir os fins para os quais os dados pessoais são processados e os meios pelos quais eles são processados“. Em geral, posições conflitantes estão relacionadas aos cargos de chefia, gerência ou direção. No caso dos cartórios, esta posição de autoridade recai sobre os titulares e seus substitutos.
Na prática, portanto, a designação do encarregado vem se revelando uma verdadeira dificuldade para as instituições, sejam elas públicas ou privadas, mais ainda nas atividades notarial e de registro.
E, embora a LGPD não mencione expressamente a questão do conflito de interesses, é bem provável que a ANPD se ocupe com o tema e defina normas complementares sobre o encarregado (artigo 42, §3º), tendo em vista que, já no Guia de Agentes de Tratamento e Encarregados, a autoridade se preocupou em citar a importância da sua independência.
Em síntese, mesmo que ainda não haja um posicionamento oficial da ANPD ou do CNJ, desde já é importante que os controladores tenham cautela ao indicar o seu encarregado, ponderando não somente o custo, mas a real efetividade e imparcialidade daquele que for designado para a função, considerando a relevância de distinguir aquele que define aspectos do tratamento dos dados daquele que monitora a conformidade com as boas práticas que derivam das disposições da LGPD.
Conforme dispõe o artigo 4º do Provimento 134/2022 e na inteligência do artigo 5º, VI, da LGPD, os delegatários, interventores ou interinos, são controladores no exercício da atividade típica registral ou notarial, aos quais competem as decisões referentes ao tratamento de dados pessoais. Apesar disso, não estão sozinhos na jornada de adequação do cartório, contando com a ajuda do encarregado pelo tratamento de dados. Essa figura foi instituída pela LGPD, sendo responsável por atuar não só como canal de comunicação entre o agente delegado, titulares dos dados e autoridades, como também na liderança da implementação de medidas rumo à conformidade à Lei 13.709/18.
O Provimento determina a nomeação de um encarregado (artigo 10), uma vez que sua indicação pelo controlador, em regra, é obrigatória. Não obstante a existência de serventias extrajudiciais dos mais variados portes e com diferentes volumes de dados pessoais tratados, a ANPD ainda não estabeleceu um regramento para dispensa de indicação do encarregado pelos delegatários.
O encarregado poderá ser um funcionário ou colaborador do quadro interno da serventia notarial, figura reconhecida como preposto do titular do cartório, mas poderá ainda ser nomeado um terceiro contratado para esse fim, neste caso, um consultor, pessoa jurídica ou profissional liberal.
Para os prepostos (substitutos, escreventes e auxiliares), nomeados na forma do disposto no artigo 20 da Lei 8.935/1994, não há impedimentos dos escreventes e auxiliares serem nomeados com encarregados, mas há impedimento na nomeação dos substitutos como encarregados, pela vedação expressa do artigo 10, inciso II, do Provimento 134/22 do CNJ.
Em nosso entendimento, ainda não há disposição legal ou normativa que indique o conflito de interesse entre os prepostos de cartório com a atividade de DPO, desde que mantida sua autonomia e imparcialidade por “autoavaliação”, o que não se aplica aos substitutos que recebem atributos idênticos da delegação do titular de cartório (artigo 10, inciso II, do Provimento 134/22 do CNJ).
O provimento permite que as serventias poderão designar um encarregado de maneira conjunta, bem como terceirizar o exercício da função mediante contratação de um prestador de serviços (“Encarregado Externo” ou “DPO as a service“), seja pessoa física ou jurídica. Adicionalmente, o provimento prevê que os cartórios poderão ter a remuneração do encarregado subsidiada ou custeada pelas entidades representativas de classe (Anoregs, Sinoregs, etc).
Importante pontuar que não há óbice para contratação de um mesmo encarregado por cartórios de qualquer classe, conforme assegura o artigo 10, §3º, desde que demonstrável a inexistência de conflito na cumulação de funções e na manutenção da qualidade dos serviços prestados.
As regras sobre encarregado no Provimento 134/22 do CNJ constam do artigo 10:
“DO ENCARREGADO
Artigo 10. Deverá ser designado o encarregado pelo tratamento de dados pessoais, conforme o disposto no artigo 41 da LGPD, consideradas as seguintes particularidades:
I – os responsáveis pelas Serventias Extrajudiciais poderão terceirizar o exercício da função de Encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que apto ao exercício da função;
II – a função do Encarregado não se confunde com a do responsável pela delegação dos serviços extrajudiciais de notas e de registro;
III – a nomeação do Encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador na qualidade de responsável pela nomeação e o Encarregado; e
IV – a nomeação de Encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro, quando for solicitado pelo titular dos dados pessoais.
- 1º Serventias classificadas como ‘Classe I’ e ‘Classe II’ pelo Provimento nº 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça, poderão designar Encarregado de maneira conjunta.
- 2º A nomeação e contratação do Encarregado de Proteção de Dados Pessoais pelas Serventias será de livre escolha do titular da Serventias, podendo, eventualmente, ser realizada de forma conjunta, ou ser subsidiado ou custeado pelas entidades de classe.
- 3º Não há óbice para a contratação independente de um mesmo Encarregado por serventias de qualquer Classe, desde que demonstrável a inexistência de conflito na cumulação de funções e a manutenção da qualidade dos serviços prestados.”
Sobre esse tema, também há recomendações no Guia Orientativo para definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, neste caso algumas informações deverão ser aplicadas para uma boa governança, como a constante no Item 75. “Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.”
Conforme o artigo 41 da LGPD, o controlador de dados (titular do Cartório) deverá indicar um encarregado pelo tratamento de dados pessoais. No exercício de suas atribuições, o encarregado pode desempenhar um importante papel de fomentar e disseminar a cultura da proteção de dados pessoais na organização, como, por exemplo, ao receber solicitações de titulares e da autoridade nacional e adotar providências ou, ainda, ao orientar funcionários e contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
Em síntese, mesmo que ainda não haja um posicionamento oficial da ANPD, desde já é importante que os controladores, titulares de Cartório, tenham cautela ao indicar o seu encarregado, ponderando não somente o custo, mas a real efetividade e imparcialidade daquele que for designado para a função, considerando a relevância de distinguir aquele que define aspectos do tratamento dos dados daquele que monitora a conformidade com as boas práticas que derivam das disposições da LGPD.
*William Rocha é sócio do Terra Rocha Advogados, doutorando em Ciências Jurídicas pela Universidade Católica da Argentina (UCA), mestrado em Direito Empresarial Econômico pela UCA, mestrando em Ciência da Informação pelo Instituto Brasileiro de Informação em Ciência e Tecnologia da Universidade Federal do Rio de Janeiro (IBICT/UFRJ), especialista com MBA em Direito do Consumidor e da Concorrência pela Fundação Getúlio Vargas (FGV/RJ) e em Defesa do Consumidor, Telecomunicações e Proteção de Dados, ex-Procurador Adjunto da Junta Comercial do Estado do Rio de Janeiro (Jucerja), assessor da presidência da Jucerja, encarregado de Proteção de Dados (DPO) da Jucerja, diretor vogal do Instituto Brasileiro de Executivos de Finanças (Ibef-RJ) para contratos e LGPD e Conselheiro da Govdados e participante da Comissão de Defesa do Consumidor, da Comissão de Proteção de Dados e Privacidade e da Comissão de Gestão e Empreendedorismo Jurídico da OAB/RJ.
Fonte: ConJur