Os desafios do Encarregado de Proteção de Dados Pessoais 

A Lei Geral de Proteção de Dados (Lei Federal 13.709/2018) no Art. 5 inciso VII, define o papel do encarregado de proteção de dados para as empresas, conforme o texto abaixo:

Art. 5º Para os fins desta Lei, considera-se:

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);    (Redação dada pela Lei nº 13.853, de 2019)   

Em seguida, no Art. 41., a Lei define algumas das atribuições do Encarregado de Proteção de Dados Pessoais:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

  • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
  • 2º As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

  • 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Pensando nas atribuições destacas na Lei e, ainda, aquelas que poderão vir em normas complementares a serem editadas pela ANPD, o encarregado terá alguns grandes desafios para desempenhar este papel dentro das organizações.

Posso afirmar que será impossível o Encarregado exercer suas funções o auxílio da tecnologia, mas não estou falando das tecnologias para monitorar, proteger ou detectar possíveis incidentes de segurança, mas estou falando de ferramentas que efetivamente ajudem o dia a dia do Encarregado na gestão da privacidade e da conformidade com as Leis de Privacidade de uma forma geral.

Para desafiar a pensar sobre o dia a dia de um Encarregado, vamos começar com algumas perguntas sobre temas que ele deverá saber responder:

  1. Quantos registros de Dados Pessoais a sua organização gerencia atualmente?
  2. Do total de repositórios (Bancos de Dados, Servidores de Arquivos, Sistemas, Serviços em Nuvem, entre outros) que uma organização utiliza, quantos tratam dados pessoais?
  3. Uma vez conhecidos os repositórios, como encontrar os dados pessoais e, como associar estes dados a uma identidade ou um indivíduo?
  4. Quando houver Dados Pessoais sob a custódia de uma base legal de consentimento, será necessário fazer a gestão desta informação adicional, quantas repositórios estão sobre esta base legal e quanto já possuem funcionalidades prontas para fazer esta gestão?
  5. Qual a estrutura que as organizações irão disponibilizar ao encarregado, para que ele consiga exercer as suas atividades?
  6. Quantos titulares deverão exercer algum dos seus direitos? Como atender esta demanda? Ou seja, identificar os Dados Pessoais de um Titular nos diversos repositórios e responder o Titular se houver centenas ou milhares de solicitações?

 

Refletindo sobre cada umas destas questões, o primeiro desafio para o Encarregado é efetivamente conhecer os processos de negócios que capturam e tratam dados pessoais, mas mais do que isto entender onde os Dados Pessoais são armazenados e processados, pois eles podem estar distribuídos em dados estruturados – quando os dados estão dentro de um sistema ou um banco de dados e, podem ser não-estruturados – quando os dados estão dentro de documentos ou planilhas sem uma estrutura padrão ou conhecida. Portanto, o primeiro desafio é saber onde eles estão e como encontra-los, mas mais do que isto, como manter este inventário de dados atualizado constantemente, pois os dados que as organizações processam crescem e se modificam todos os dias.

O outro desafio diante do volume de dados pessoais que podem ser encontrados nas organizações é como correlacioná-los de uma forma, que possamos conectar todos os registros de dados pessoais de um indivíduo, independente do repositório que este registro se encontra. Desta forma, será muito mais fácil de atender a demanda de um Titular, senão o desafio será encontrar os possíveis identificadores do Titular e procurar em cada repositório utilizando o identificador correspondente. Como fazer isto com centenas ou milhares de solicitações e, como consolidar as respostas? Estas demandas serão atendidas pelo Encarregado ou a área de TIC ou compliance quem ajudarão nestas atividades? Será que as organizações estão planejando estrutura ou métodos ou ferramentas para executar isto?

Por fim, mas não menos importante, são os dados pessoais que possuem como base legal o consentimento. Quando um dado pessoal é capturado e tratado com base no consentimento será necessário fazer a gestão do consentimento, pois o Titular poderá exercer o direito de revogar o consentimento, portanto aquela captura e tratamento deverá ser encontrada e revogada e, em consequência, identificar os dados capturados e, estes, deverão ser removidos. Recentemente, visitei uma empresa que fornecia acesso à Internet para os seus visitantes e, para que eles pudessem usufruir, eles deveriam preencher um cadastro, consentir e concordar com a Politica de Privacidade, ou seja, uma captura e tratamento de dados tipicamente baseada no consentimento do Titular. Diante disto, questionei a empresa se eles tinham a lista dos visitantes que eles tinham capturado o consentimento no dia de ontem para usar o serviço de internet deles e, se algum visitante voltasse no dia seguinte e revogasse o consentimento, como eles fariam? Enfim, descobri que na verdade a empresa que prestava o serviço havia apenas modificado o texto do captive portal de autenticação dos visitantes, adicionando as questões relacionadas com a nova Lei de Privacidade e se o usuário autorizava a captura dos seus dados, mas não havia qualquer registro efetivo do consentimento em si e que a única maneira de remover o consentimento seria apagando os dados dos visitantes, mas não teria como registrar a revogação do consentimento. Enfim, faltava ferramenta efetiva para fazer a gestão efetiva do consentimento e, é isto que observamos de uma forma geral para cookies, formulários e outros serviços que capturam dados com base no consentimento – não há gestão.

O Encarregado vai necessitar de uma ou mais ferramentas para auxiliá-lo nas suas atividades, sem nenhuma dúvida. Pois, gerenciar dados pessoais dentro das organizações de uma forma geral é uma necessidade nova e sem conhecimento profundo da quantidade e da dinâmica de como estes dados são utilizados no dia a dia de cada organização.

Revise as perguntas acima e reflita a respeito e veja se consegue responde-las no contexto da organização em que você trabalha.

Na próxima semana, vamos explorar ferramentas que podem ajudar o encarregado a tratar estes desafios.

Airton Coelho Vieira Jr, MsC
Chief Technology Officer

 

 

 

Entre em contato conosco