Encarregado pelo Tratamento de Dados Pessoais
4.4.1. Encarregado pelo Tratamento de Dados Pessoais
A Lei Geral de Proteção de Dados impõe a figura do Encarregado pelo Tratamento de Dados Pessoais, que define no art. 5º, VIII, como “a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”. A despeito da definição estreita trazida pela lei, que o reduz a um canal de comunicação, o Encarregado abarca também outras funções, mais técnicas, tais como: (a) a análise de criticidade de atividades de tratamento de dados pessoais, notadamente por meio de avaliação ou elaboração de Relatório de Impacto à Proteção de Dados Pessoais, (b) atuar na elaboração do plano de resposta à incidentes de privacidade, (c) na avaliação do desenho de privacidade (privacy by design, previsto no art. 46, §2º, da lei brasileira), entre outros.
O Encarregado é figura prevista na legislação europeia, com mais força desde o Regulamento Geral sobre Proteção de Dados (GDPR, na sigla inglesa), nos arts. 37º a 39º, e em sua origem, na Lei alemã de Proteção de Dados de 1977, nos §§28 e 29 – neste último, com a definição mais precisa sobre o cargo: o Encarregado implementa a legislação de proteção de dados na organização[1]. Assim, a indicação do Encarregado é central precisamente porque é ele o ponto focal das providências para a conformidade à legislação de proteção de dados pessoais.
A Lei Geral de Proteção de Dados impõe ao controlador de dados pessoais a obrigação de indicar um Encarregado (art. 41) e no caso dos serviços de registro, em razão da aplicação do mesmo tratamento dispensado às pessoas jurídicas de direito público, nos termos do art. 23, §4º, subiste a obrigação de indicação ainda quando forem simplesmente operadores de dados pessoais (art. 23, III). Ou seja, em ambos os casos, nas figuras de controlador e/ou de operador de dados pessoais os Registros Públicos precisam indicar um Encarregado.
A lei brasileira foi sucinta sobre as características e as habilidades que devem ter esse profissional. Contudo, pela legislação e experiência europeias, incluindo as diretrizes estabelecidas pelo Grupo de Trabalho do Artigo 29, atual Comitê Europeu de Proteção de Dados[2], temos como reconhecida a importância de se tratar de profissional multidisciplinar, que compreenda a legislação de proteção de dados, seus aspectos técnicos e as peculiaridades da organização. Ademais, exige-se que possua autonomia e que goze da confiança do agente de tratamento que o indicou para o exercício de suas funções.
Considerando que há realidades distintas entre as Serventias e que a LGPD abre a possiblidade de que o Encarregado seja externo, é possível pensar em soluções nas quais o ONR estruture grupos de Serventias sob a responsabilidade de um mesmo Encarregado.
[1] “§ 29 Aufgaben des Beauftragten für den Datenschutz. Der Beauftragte für den Datenschutz hat die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. Zu diesem Zweck kann er sich in Zweifelsfällen an die Aufsichtsbehörde (§ 30) wenden. Er hat insbesondere (1) eine Übersicht über die Art der gespeicherten personenbezogenen Daten und über die Geschäftszwecke und Ziele, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist, über deren regelmäßige Empfänger sowie über die Art der eingesetzten automatisierten Datenverarbeitungsanlagen zu führen, (2) die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen, (3) die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden besonderen Erfordernisse für den Datenschutz, vertraut zu machen, (4) bei der Auswahl der in der Verarbeitung personenbezogener Daten tätigen Personen beratend mitzuwirken.”
[2] Diretrizes sobre Encarregados de Proteção de Dados, Disponível em https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048
← Sumário | Próximo tópico →
NEAR-lab 