O Encarregado de Proteção de Dados, também conhecido como Data Protection Officer (“DPO”) pela legislação europeia (Regulamento Geral sobre a Proteção de Dados – “RGPD”), é uma função estabelecida tanto pela legislação brasileira (Lei Geral de Proteção de Dados – “LGPD”) quanto no RGPD. Ambas as leis têm suas próprias exigências para a nomeação de seus DPOs, seja para os controladores de dados ou os processadores. O DPO atua como um canal de comunicação entre os titulares dos dados e a autoridade pública responsável por aplicar as regulamentações de proteção de dados dentro da jurisdição.
Apesar de as duas legislações exigirem a presença de um DPO, existem diferenças chave das quais as empresas devem estar cientes para mitigar riscos, evitar sanções legais e administrativas e prevenir danos à sua reputação. Para esclarecer essas distinções, preparamos um quadro comparativo referente à LGPD e ao RGPD.
A seguir, destacamos as principais características dessas duas legislações:
| GDPR | LGPD | |
| Obrigação de nomear um DPO | Obrigatório em casos específicos, por exemplo, órgãos públicos ou entidades envolvidas em monitoramento sistemático e em larga escala de dados ou em tratamento de dados sensíveis (Art. 37). | Geralmente exigido para todas as entidades, com exceções para agentes de pequeno porte se houver um canal de comunicação disponível (Resolução CD/ANPD nº 2/2022). |
| Qualificações e Habilidades | Requer qualificações profissionais, especialmente em direito e práticas de proteção de dados (Art. 37). [1]. | Qualificações são determinadas pela expertise relevante ao contexto, volume e riscos associados ao tratamento de dados (Resolução CD/ANPD nº 18/2024). |
| Responsabilidades | Responsabilidades importantes, incluindo o suporte às avaliações de impacto, a cooperação regulatória e o contato com o titular dos dados (Art. 39). | Responsabilidades incluem gerenciar reclamações e comunicações com titulares de dados, ANPD, e aconselhar a empresa, terceiros e funcionários sobre práticas de proteção de dados. |
| Terceirização | Permitida (Art. 39). | Permitida (Art. 5). |
| Divulgação | Detalhes de contato devem ser publicados no site da empresa e fornecidos às autoridades de supervisão. | Detalhes de contato devem ser publicados no site da empresa. |
| Conflito de Interesse | Salvaguardas para garantir independência e prevenir conflitos de interesse (Art. 38(3) e 38(6)). | Exige medidas para mitigar conflitos de interesse (Resolução CD/ANPD nº 18/2024). |
| Posição dentro da organização | Opera de forma independente, com os recursos necessários e acesso direto à alta administração [2]. | Requisitos semelhantes para autonomia e acesso, embora não haja proteção explícita contra demissão (Resolução CD/ANPD nº 18/2024, Art. 10 e 15). |
A seguir, esclarecemos as principais diferenças entre o DPO no RGPD e na LGPD.
OBRIGAÇÃO DE NOMEAR UM DPO
Diferentemente do RGPD [3], que estabelece critérios específicos para a designação de um DPO, a LGPD adota uma abordagem mais geral, determinando que o controlador deve designar um encarregado de proteção de dados pessoais. Isso implica que, de modo geral, qualquer organização pública ou privada deve designar um DPO. Contudo, existe uma exceção estabelecida na Resolução CD/ANPD nº 2/2022, que isenta os agentes de tratamento de pequeno porte [4] da designação de um DPO, mantendo-se as demais obrigações definidas pela LGPD [5]. Além disso, o §3 do artigo 41 prevê a possibilidade de outras isenções, permitindo à Autoridade Nacional de Proteção de Dados (“ANPD”) estabelecer casos nos quais a designação de um DPO pode não ser necessária, considerando a natureza, o porte e o volume de tratamento de dados pela entidade.
QUALIFICAÇÕES E COMPETÊNCIAS
O papel do DPO, segundo a legislação brasileira, é mais flexível e possui exigências menos rigorosas em comparação com a Europa, especialmente no que tange às qualificações do profissional que ocupa essa função. De acordo com o artigo 7 da Resolução CD/ANPD nº 18/2024, cabe ao agente de tratamento de dados definir as qualificações do DPO com base em seu conhecimento da legislação de proteção de dados pessoais, bem como do contexto, volume e risco das operações de tratamento realizadas. Essa Resolução também estabelece que o DPO deverá ser capaz de se comunicar de maneira eficaz com os titulares de dados e com a ANPD. Na Europa, o artigo 37 do RGPD impõe requisitos mais específicos, como a necessidade de conhecimentos especializados em direito e práticas de proteção de dados, a exigência de que as qualificações sejam proporcionais à complexidade e ao risco das atividades de tratamento, a capacidade de desenvolver e manter programas de proteção de dados, bem como familiaridade com medidas técnicas e organizacionais.
TERCEIRIZAÇÃO DO PAPEL DO DPO
A Resolução CD/ANPD nº 18/2024, que regulamenta a função do DPO no artigo 12, prevê que esse profissional pode ser uma pessoa física, vinculada ou não à estrutura organizacional do agente de tratamento, ou ainda uma pessoa jurídica [6]. Todas essas opções também são autorizadas pelo RGPD [7].
DIVULGAÇÃO DAS INFORMAÇÕES DE CONTATO DO DPO
As informações de contato do DPO devem ser publicadas no site da empresa em ambas as legislações, garantindo a transparência e a acessibilidade para os titulares de dados e as autoridades. O artigo 9 da Resolução CD/ANPD nº 18/2024 também permite que a divulgação ocorra por outros meios de comunicação, caso o controlador de dados não possua um site próprio. O RGPD estabelece igualmente que os dados de contato do DPO devem ser comunicados às autoridades.
CONSIDERAÇÕES SOBRE CONFLITOS DE INTERESSES
Tanto o Regulamento Geral sobre a Proteção de Dados (RGPD) quanto a Lei Geral de Proteção de Dados (LGPD) abordam o tema dos conflitos de interesses no exercício das funções do DPO. O RGPD adota salvaguardas detalhadas para garantir a independência do DPO, proibindo que ele assuma funções que possam gerar um conflito de interesses, como, por exemplo, cargos onde determine os objetivos do tratamento de dados pessoais. Além disso, o regulamento exige que o DPO não seja punido ou dispensado por exercer suas responsabilidades [8]. A LGPD, por sua vez, estabelece que o controlador deve adotar medidas para mitigar qualquer conflito de interesse, com a possibilidade de substituir o DPO, se necessário.
Esses aspectos serão analisados mais a fundo em um artigo específico que explorará casos e a legislação relacionada a conflitos de interesses no contexto da proteção de dados.
POSIÇÃO DENTRO DA ORGANIZAÇÃO
No que diz respeito à acumulação de funções, a legislação brasileira não proíbe expressamente que um funcionário, administrador ou subcontratado seja designado como DPO, desde que a independência da função seja preservada. Da mesma forma, conforme o RGPD, o DPO pode exercer outras funções na organização, desde que isso não implique em um conflito de interesses. Isso significa que, segundo a legislação da União Europeia, o DPO não pode ocupar um cargo no qual determine as finalidades e os meios das atividades de tratamento de dados pessoais, como diretor executivo, diretor de operações ou chefe de Recursos Humanos, por exemplo [9].
O papel do DPO é fundamental para a manutenção das normas de privacidade, e uma compreensão clara das regulamentações que regem essa função é essencial para as organizações que operam no Brasil. As empresas estrangeiras que ingressam no mercado brasileiro devem buscar aconselhamento jurídico local para garantir a conformidade com a LGPD, particularmente no que se refere à designação e responsabilidades do DPO.
A GTLawyers possui toda a expertise necessária para fornecer aconselhamento e orientação jurídica, seja auxiliando o DPO em suas atividades diárias, seja oferecendo serviços de DPO para mitigar potenciais conflitos de interesses. Nossa equipe assegura que as empresas não apenas cumpram suas obrigações legais, mas também implementem práticas eficazes de proteção de dados, minimizando assim riscos jurídicos e reputacionais, ao mesmo tempo que preservam a independência e a imparcialidade do DPO.
GT Lawyers
Anne Brunschwig
Jessica Ferreira
[1] O Grupo de Trabalho do Artigo 29 (WP29) publicou diretrizes amplamente reconhecidas pelo mercado sobre as qualificações do DPO, indicando que esse profissional deve saber criar, implementar e manter um Programa de Proteção de Dados. Além disso, quanto mais complexo ou arriscado for o tratamento de dados realizado pelo controlador, mais elevadas serão as exigências de conhecimento e especialização para o DPO. Por fim, o DPO não precisa ser advogado, mas deve estar familiarizado com a legislação e as medidas técnicas e organizacionais de proteção de dados.
[2] O artigo 38 do Regulamento Geral sobre a Proteção de Dados (RGPD) estipula que o DPO deve ser envolvido nas questões relacionadas ao tratamento de dados pessoais e, ademais, deve atuar de forma autônoma, sem receber instruções de terceiros, independentemente de sua posição hierárquica. Nesse contexto, a empresa deve fornecer os recursos necessários para o exercício de suas atividades. É também importante destacar que o DPO não pode ser demitido ou punido pelo exercício de suas funções. Ele deve reportar-se à alta administração, e os titulares dos dados podem contatá-lo diretamente para esclarecer suas dúvidas e tratar de questões pertinentes. Além disso, o DPO deve manter sigilo sobre suas atividades e pode exercer outras funções na empresa, desde que não haja conflito de interesses.
[3] Nos termos do RGPD, a designação de um DPO é obrigatória em três casos específicos descritos no artigo 37: (i) quando o tratamento de dados é realizado por uma autoridade ou organismo público, exceto tribunais atuando em sua função jurisdicional; (ii) quando as atividades principais do controlador ou do processador envolvem o monitoramento regular e sistemático dos titulares de dados em grande escala; ou (iii) quando as atividades principais envolvem o tratamento em larga escala de categorias especiais de dados, como dados sensíveis ou informações relativas a condenações penais e infrações.
[4] O artigo 2º, I, da resolução mencionada define esses agentes. Dentre os exemplos, citam-se microempresas, pequenas empresas, startups, pessoas jurídicas de direito privado, incluindo organizações sem fins lucrativos. É importante notar que o agente não pode se beneficiar do tratamento jurídico diferenciado da resolução se estiver enquadrado nos cenários previstos no artigo 3º.
[5] As obrigações dos agentes de tratamento de pequeno porte foram mantidas, mas certa flexibilidade foi introduzida em áreas específicas, como prazo dobrado para atender às solicitações dos titulares e para comunicar-se com a Autoridade Nacional de Proteção de Dados (ANPD), bem como a possibilidade de adotar procedimentos simplificados.
[6] O texto original da LGPD estipulava que o DPO deveria ser uma pessoa física. No entanto, a medida provisória nº 869/2018 suprimiu o termo “pessoa física”, e a lei nº 13.853/2019 introduziu a possibilidade de empresas atuarem como DPO.
[7] De acordo com o artigo 37, §6 do RGPD, o DPO pode ser membro do pessoal do controlador ou do processador, ou exercer as funções com base em um contrato de serviço.
[8] Ver artigo 38 do RGPD.
[9] Mais informações em: site www.ecb.europa.eu Consultado em: 30/10/2024.
