Nosso sócio Caio Lima participou ontem, 6 de abril, do segundo dia de reunião da ANPD (Autoridade Nacional de Proteção de Dados) referente à tomada de subsídios para elaboração de minuta da norma do Encarregado pelo Tratamento de Dados Pessoais ou DPO (Data Protection Officer). A ANPD realiza, entre os dias 5 e 8 de abril, reuniões técnicas com o objetivo de ter elementos para a futura criação dessa norma.
São cinco blocos com perguntas elaboradas pela equipe técnica da ANPD, que foram submetidas a especialistas externos. Caio Lima é um desses especialistas convidados e respondeu às questões do bloco 3, que trata da responsabilização civil e da terceirização do Encarregado. Confira abaixo a síntese das nossas respostas.
PERGUNTA DA ANPD: O papel de Encarregado pode ser terceirizado? Alternativamente, as atribuições de Encarregado, seja de forma parcial, seja de forma total, podem ser terceirizadas? Se sim, quais?
NOSSA RESPOSTA: A LGPD (Lei Geral de Proteção de Dados) não distingue se o Encarregado deve ser pessoa natural ou jurídica, bem como se deve ser funcionário do controlador ou agente externo. Dessa forma, existe a possibilidade de contratação de pessoas jurídicas para exercer essa função, ou seja, a possibilidade de terceirização do Encarregado (DPO as a Service).
Não há, portanto, impedimento à terceirização da função de Encarregado pelo Tratamento de Dados Pessoais, tanto no que se refere à terceirização da posição/função quanto das atribuições inerentes ao DPO. Diante disso, entendemos que as atribuições do Encarregado podem ser parcial ou totalmente terceirizadas, devendo ele continuar atento ao desenvolvimento das tarefas que lhe são atribuídas, uma vez que permanecerá responsável por elas.
PERGUNTA DA ANPD: É possível terceirizar as atribuições do Encarregado tanto para pessoa física quanto para pessoa jurídica?
NOSSA RESPOSTA: Ao levar em consideração que inexistem limitações para que uma pessoa jurídica assuma a função de Encarregado, decorre também a inexistência de limitações para que suas funções sejam delegadas a outra pessoa jurídica, podendo essa função ser exercida também com base em Contrato de Prestação de Serviço, celebrado com indivíduo ou companhia externa ao agente de tratamento.
Nesse último caso, o EDPB (European Data Protection Board) recomenda que cada membro da organização que exerça as funções de Encarregado cumpra todos os requisitos aplicáveis à função (por exemplo, verificando a existência de possíveis conflitos de interesses).
PERGUNTA DA ANPD: No contexto de terceirização das atividades de Encarregado, devem ser definidas as formas de responsabilização do Encarregado? Se sim, de que forma?
NOSSA RESPOSTA: Relativamente à responsabilização por danos patrimoniais, morais, individuais ou coletivos causados a outrem, em violação à legislação de proteção de dados pessoais, a LGPD, nos artigos 42 e 52, prevê a responsabilização dos agentes de tratamento, mas não o faz em relação ao Encarregado.
Dessa forma, no que diz respeito à responsabilização no sentido de distribuição de papéis dentro da organização (vide princípio do accountability), é necessário que estejam claras as competências e as atribuições do Encarregado frente ao agente de tratamento, bem como os mecanismos adotados para tomada de decisões e delegação de atividades. Essa definição de responsabilização é necessária até mesmo para que fiquem nítidos os limites de responsabilidade para empregados e stakeholders do programa de privacidade.
Por outro lado, no que diz respeito à responsabilização civil, em caso de ocorrência de danos causados ao agente de tratamento, deve ser obedecido o regime de responsabilidade subjetiva previsto no Código Civil (vide artigos 186 e 927, parágrafo único). Dessa forma, não entendemos como plausível o regime de responsabilidade objetiva do Encarregado, nem mesmo quando o titular se confunde com a figura de consumidor (o que também atrai a aplicação do Código de Defesa do Consumidor, à luz do artigo 45 da LGPD).
Se fosse possível a responsabilização do Encarregado nesses casos, estaríamos diante de um caso de transferência de responsabilidade pela conformidade com a LGPD para terceiro, que não o agente de tratamento. Além disso, tanto o artigo 42, caput, quanto o 52 da LGPD são claros no sentido de que a responsabilidade por danos causados aos titulares, bem como pela sujeição a infrações administrativas, é dos agentes de tratamento.
PERGUNTA DA ANPD: A ANPD deveria regulamentar as hipóteses em que o Encarregado pode ser civil e pessoalmente responsabilizado por danos causados ao agente de tratamento? Em caso afirmativo, quais os principais critérios a serem adotados?
NOSSA RESPOSTA: Entendemos que a ANPD não deveria regulamentar as hipóteses em que o Encarregado pode ser civil e pessoalmente responsabilizado por danos causados ao agente de tratamento, ponderando o fato de que a criação de regimes de responsabilização que não estejam previstos na LGPD é de competência da União (vide artigo 22, I, da Constituição Federal). Além disso, como já mencionado, entendemos que o Código Civil já traz o arcabouço jurídico necessário para a responsabilização do Encarregado frente ao agente de tratamento para o qual atua.
PERGUNTA DA ANPD: O descumprimento de atribuições por parte do Encarregado acarreta consequências jurídicas? Em caso afirmativo, quais seriam? Fundamente.
NOSSA RESPOSTA: Acreditamos que o descumprimento de atribuições por parte do Encarregado frente ao agente de tratamento pode trazer consequências jurídicas, como trabalhistas (insubordinação) e civis (responsabilização por danos e descumprimento de contrato no caso de Encarregado terceirizado).
No entanto, não entendemos que o Encarregado possa ser responsabilizado perante os titulares de dados. A exceção ficaria nas raras situações em que o Encarregado assuma a condição de controlador de dados, passando a ser abarcado pela regra definida no artigo 42 da LGPD.
Além dos temas do bloco 3, a tomada de subsídios envolve discussões sobre características e atribuições do Encarregado; formas de atuação; informação de contato do Encarregado e dispensa de indicação; e setor público.
Para mais informações, nossas equipes permanecem à disposição.