Tomada de subsídios sobre o DPO: Bloco 1, Perguntas 6 e 7

Nesta semana está ocorrendo a tomada de subsídios sobre o DPO, realizada pela ANPD. A despeito do processo aparentemente “sigiloso”, já que as posições não estão sendo transmitidas ao vivo como já ocorreu anteriormente, damos continuidade à apresentação das nossas respostas. Hoje trarei aqui o que penso a respeito das Perguntas 6 e 7 do Bloco 1. Vamos lá!

Bloco 1, Pergunta 6: Quais outras atividades, além das listadas no art. 41, §2º da LGPD, poderiam ser exercidas pelo encarregado?

Além das atividades já indicadas na resposta às Perguntas 3 e 4 (manutenção e atualização de registros diversos), o EPD poderá ficar responsável por realizar auditorias independentes (isto é, criadas por si próprio), bem como recomendação de novos documentos internos ao agente de tratamento (como a criação das mais diferentes políticas no sentido indicado pela ISO 27001).

O encarregado poderá também ficar responsável por sugerir e realizar treinamentos diversos sobre temas da proteção de dados, conforme o escopo do agente de tratamento e sua área de atuação, além de propor frameworks internos referentes às diversas avaliações de risco que devem ser realizadas pelo agente de tratamento (LIA, RIPD, TIA etc.).

O EPD também pode ficar responsável pela análise do conteúdo de contratos entre controladores e operadores no que disser respeito a temas de proteção de dados, fazendo suas recomendações não no sentido de proteger a empresa, mas sim em verificar o que é melhor para os titulares de dados pessoais.

Bloco 1, Pergunta 7: Qual grau de autonomia que o encarregado deverá possuir no desempenho de sua função? Como fomentar um cenário de autonomia para essa função? Quais os riscos e benefícios relacionados à autonomia?

Conforme já indicado no ponto 72 do Guia Orientativo da ANPD sobre Agentes de Tratamento e o Encarregado, o EPD precisa ter liberdade para atuar como tal.

Isto significa que o EPD, idealmente, não deve sofrer pressões no desempenho de suas funções. Considerando-se o que está no inciso III do § 2º do art. 41 da LGPD, a função do EPD é “orientar os contratados e funcionários sobre as melhores práticas de proteção de dados”.

Ora, para fazê-lo o EPD precisa se preocupar com tais práticas de proteção de dados – e, na realidade do dia a dia tais práticas, muitas vezes, são contrárias ao interesse do agente de tratamento, especificamente do controlador.

Um exemplo simples serve para explicar o raciocínio: em uma simples atividade de marketing, é possível argumentar que, sob a perspectiva do controlador, seria mais útil utilizar a base legal “legítimo interesse”, justamente pelo fato de que desta maneira o titular não tem escolha e o controlador pode enviar suas mensagens com liberdade ao titular de dados pessoais.

Porém, pela ótica do EPD pode-se argumentar que a base legal mais indicada será a base legal “consentimento”, especialmente se não houver nenhuma relação prévia do controlador com o titular, por um lado, e ainda considerando-se, por outro, a prática comum no mercado de compra e venda de bases de dados (o que levanta outras preocupações em relação, inclusive, à legalidade do uso de bases de dados assim obtidas).

Ora, em uma situação como esta o EPD tem de ter a liberdade e autonomia necessárias para, no contexto do inciso III já indicado anteriormente, recomendar ao controlador que não use o legítimo interesse como base legal, mas sim o consentimento – e a decisão final, que é exclusiva do controlador (e não do EPD, pois como já indicado o EPD orienta, mas não toma decisões) -, não poderá gerar consequências negativas ao EPD porque ele “foi contra” os interesses do controlador.

O mesmo deverá ocorrer no momento de realizações de RIPDs: caso o controlador realize o RIPD e o EPD faça questionamentos em relação ao resultado deste documento – o que poderá atrasar o lançamento de uma nova atividade de tratamento, por exemplo -, o EPD deve ter a liberdade de poder fazê-lo e a garantia de que não irá sofrer consequências diretas ou indiretas por ter “atrasado” um projeto do controlador.

Para garantir esta liberdade e autonomia, a ANPD poderá, como resultado da tomada de subsídios sobre o DPO, se utilizar do seu poder regulamentador para indicar estas características institucionais do EPD, inclusive recomendando que o EPD esteja ligado diretamente à alta direção e não submetido a um Diretor Jurídico e/ou Diretor de Segurança da Informação, por exemplo – e poderá fazê-lo, cite-se novamente, também com base na função de “orientação” do EPD (inciso III do § 2º do art. 41), entendendo-se aqui que “orientar” significa apenas “sugerir” e não “obrigar” que o agente de tratamento faça isto ou aquilo conforme as orientações do EPD (até porque, ressalte-se novamente, o EPD não toma decisões, já que isto é prerrogativa do agente de tratamento institucionalmente falando).

Dentre os benefícios deste posicionamento em relação à liberdade e autonomia do EPD, destacam-se dois. O primeiro é o reforço do EPD em relação ao que está previsto na LGPD, já que – todos sabemos – o EPD é legalmente frágil com base na legislação brasileira. A recomendação da ANPD neste sentido poderá, portanto, reforçar esta função de maneira a que o EPD deixe de ser um simples “ombudsman” e passe a efetivamente buscar a conformidade do agente de tratamento com a legislação de proteção de dados.

Em segundo lugar, o reforço do posicionamento do EPD dentro da estrutura institucional do agente de tratamento permitirá o aumento lento, mas gradativo, do grau de maturidade dos agentes de tratamento brasileiros em relação ao tema da proteção de dados – que, todos sabemos, no geral é baixo, estando em nível “ad hoc” conforme o critério do Privacy Maturity Model. O fortalecimento da posição do EPD, portanto, é necessário como estratégia de longo prazo para a proteção de dados no Brasil.


E você, o que diria à ANPD na tomada de subsídios sobre o DPO em relação às perguntas 6 e 7? Qual seu posicionamento sobre o tema? Indique logo abaixo nos comentários!