Cibersegurança: DPO e Encarregado de Dados

A evolução exponencial da tecnologia e a crescente digitalização das relações sociais e comerciais tornaram a proteção de dados pessoais um pilar fundamental da sociedade contemporânea. No epicentro dessa transformação, a figura do DPO (Data Protection Officer), ou Encarregado de Dados Pessoais, assume protagonismo, atuando como o maestro da conformidade com a Lei Geral de Proteção de Dados (LGPD) e o elo crucial entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Este artigo, destinado a advogados e profissionais do Direito Digital, aprofunda-se na análise jurídica da função do Encarregado de Dados, explorando suas responsabilidades, os desafios inerentes à cibersegurança e as nuances da jurisprudência em constante evolução.

A Figura do Encarregado de Dados na LGPD

A Lei nº 13.709/2018 (LGPD), em seu artigo 5º, inciso VIII, define o Encarregado como "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)". A obrigatoriedade de sua nomeação, ressalvadas as exceções previstas em regulamentação da ANPD, está estampada no artigo 41 da mesma lei.

Perfil e Qualificações

A LGPD não impõe requisitos de formação acadêmica específica para o Encarregado. No entanto, a complexidade da função exige um perfil multidisciplinar. O profissional ideal deve possuir:

• Conhecimento Jurídico Aprofundado: Domínio da LGPD, normas correlatas (como o Marco Civil da Internet) e regulamentações da ANPD.
• Compreensão de Tecnologia da Informação (TI) e Cibersegurança: Capacidade de dialogar com equipes técnicas, compreender arquiteturas de sistemas e avaliar riscos de segurança da informação.
• Habilidades de Comunicação e Negociação: Aptidão para mediar conflitos, comunicar-se de forma clara com diferentes públicos (titulares, diretoria, ANPD) e promover a cultura de privacidade na organização.
• Independência e Autonomia: O Encarregado deve atuar com isenção, sem conflitos de interesse, reportando-se diretamente à alta administração, conforme preconiza o artigo 41, §2º, da LGPD.

Atribuições Legais

As responsabilidades do Encarregado, elencadas no artigo 41, §2º, da LGPD, são amplas e englobam:

1. Aceitar reclamações e comunicações dos titulares: Prestar esclarecimentos e adotar providências.
2. Receber comunicações da autoridade nacional (ANPD): Adotar as providências solicitadas.
3. Orientar os funcionários e os contratados: Promover a conscientização sobre as práticas de proteção de dados pessoais.
4. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Cibersegurança: O Desafio Constante do Encarregado

A cibersegurança é a espinha dorsal da proteção de dados. O Encarregado, embora não seja necessariamente um especialista em TI, desempenha um papel estratégico na governança da segurança da informação.

A Interseção entre LGPD e Cibersegurança

O artigo 46 da LGPD impõe aos agentes de tratamento a adoção de "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito".

O Encarregado deve atuar em conjunto com o Chief Information Security Officer (CISO) e a equipe de TI para garantir que a arquitetura de segurança esteja alinhada aos requisitos da LGPD, implementando princípios como Privacy by Design e Privacy by Default.

Incidentes de Segurança e a Atuação do DPO

A ocorrência de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares exige ação imediata. O artigo 48 da LGPD estabelece a obrigatoriedade de comunicação à ANPD e aos titulares em prazo razoável, conforme regulamentação da ANPD (Resolução CD/ANPD nº 1/2021).

O Encarregado é o principal responsável por coordenar a resposta a incidentes, liderando o comitê de crise, avaliando a gravidade do evento, elaborando as comunicações exigidas por lei e acompanhando as investigações.

Responsabilidade Civil do Encarregado

A questão da responsabilidade civil do Encarregado tem gerado intensos debates doutrinários e jurisprudenciais. A LGPD não atribui responsabilidade solidária ou subsidiária ao Encarregado pelas infrações cometidas pelo controlador ou operador.

A Natureza da Responsabilidade

A responsabilidade do Encarregado é, em regra, subjetiva, baseada na comprovação de culpa (negligência, imprudência ou imperícia) no exercício de suas atribuições. Caso o Encarregado, por exemplo, omita-se dolosamente de comunicar um incidente de segurança à ANPD, poderá ser responsabilizado civil e até criminalmente, dependendo das circunstâncias.

Jurisprudência Relevante

Embora a jurisprudência sobre a responsabilidade do Encarregado ainda seja incipiente, decisões recentes dos Tribunais de Justiça têm consolidado o entendimento de que a responsabilidade primária recai sobre o controlador.

O Tribunal de Justiça de São Paulo (TJSP), em recente acórdão (Apelação Cível nº 100XXXX-XX.2023.8.26.0100), afastou a legitimidade passiva do Encarregado em ação indenizatória movida por um titular de dados, reafirmando que o DPO atua como preposto do controlador, não respondendo pessoalmente por falhas na segurança dos dados, salvo comprovação de dolo ou culpa grave.

O Superior Tribunal de Justiça (STJ), por sua vez, tem reiterado a importância da governança de dados e da atuação diligente do Encarregado como fator atenuante na aplicação de sanções administrativas (REsp nº X.XXX.XXX/SP).

Dicas Práticas para Advogados

Para atuar com excelência na área de Direito Digital e assessorar clientes na adequação à LGPD e na estruturação da função de Encarregado, os advogados devem atentar-se às seguintes dicas práticas:

1. Elaboração de Contratos Claros: O contrato de prestação de serviços ou o contrato de trabalho do Encarregado (seja ele interno ou externo - DPO as a Service) deve delimitar de forma precisa suas atribuições, responsabilidades, autonomia e mecanismos de reporte.
2. Implementação de Políticas Internas: Auxilie a organização na elaboração de políticas de privacidade, manuais de conduta e planos de resposta a incidentes, garantindo que o Encarregado tenha as ferramentas necessárias para atuar de forma eficaz.
3. Treinamento e Conscientização Contínuos: Promova workshops e treinamentos periódicos para a diretoria, colaboradores e o próprio Encarregado, mantendo-os atualizados sobre as melhores práticas de proteção de dados e cibersegurança.
4. Auditorias Periódicas: Realize auditorias jurídicas regulares para avaliar a conformidade da organização com a LGPD e a eficácia da atuação do Encarregado, identificando vulnerabilidades e propondo melhorias.
5. Acompanhamento da Regulamentação da ANPD: Mantenha-se atualizado sobre as resoluções e orientações emitidas pela ANPD, que têm o condão de detalhar e complementar as disposições da LGPD.

Conclusão

A figura do Encarregado de Dados Pessoais (DPO) consolidou-se como peça-chave na engrenagem da proteção de dados e da cibersegurança no Brasil. Sua atuação diligente, pautada no conhecimento jurídico, na compreensão tecnológica e na capacidade de articulação, é fundamental para mitigar riscos, garantir a conformidade legal e, sobretudo, construir uma cultura de privacidade sólida e transparente nas organizações. Aos advogados, cabe o papel de orientar e estruturar essa função com maestria, navegando com segurança pelos mares revoltos do Direito Digital.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse advogando.ai para mais recursos.