O encarregado na LGPD é a pessoa indicada pelo operador ou pelo controlador para exercer a função principal de ser o ponto de contato desses dois agentes de tratamento com os titulares dos dados pessoais e com a Autoridade Nacional de Proteção de Dados (art. 5º, VIII).
O encarregado também desempenha outras funções, especialmente uma educativa, de orientação do controlador e de todas as pessoas na organização sobre as boas práticas e as normas protetivas dos dados pessoais no desempenho de suas atividades, entre outras funções administrativas e jurídicas relativas ao tratamento de dados.
Entre as questões não reguladas de forma expressa pela LGPD, está a possibilidade – ou não – da nomeação de mais de um encarregado.
A LGPD permite o uso compartilhado de dados entre controladores e, expressamente, a existência de co-controladores dos dados pessoais (art. 42, II), ou seja, controladores que exercem de modo simultâneo o tratamento de dados pessoais. Porém, isso não é regulado de forma adequada, porque se restringe a um dispositivo sobre a responsabilidade dos controladores no tratamento de dados pessoais que causar danos ao titular. No GDPR da União Europeia, há a regulação específica no art. 26 dos responsáveis conjuntos pelo tratamento (joint controllers), que regula de forma genérica o contrato que pode ser realizado entre eles para o tratamento em conjunto e as suas responsabilidades.
Por exemplo, quando um consumidor fornece alguns de seus dados ao preencher uma ficha cadastral para adquirir um automóvel financiado e realizar a contratação de seguro, três pessoas jurídicas serão co-controladoras e executarão operações de tratamento desses dados pessoais: a concessionária, a financeira e a seguradora.
Em complemento, os operadores são todas as pessoas (naturais ou jurídicas) que praticarem as atividades de tratamento em nome do controlador. Não há limitação de quantidade na LGPD e o controlador (ou os co-controladores) designará tantos operadores quantos forem necessários para as operações realizadas. Assim, uma pessoa jurídica pode, por exemplo, contratar uma pessoa jurídica para desenvolver uma campanha de marketing, captar clientes e coletar os seus dados (e será operadora desses dados), designar seus próprios funcionários para atuarem como operadores dos dados pessoais coletados e armazenados e, posteriormente, contratar outra pessoa jurídica para prestar serviços de telemarketing (e ser operadora dos dados pessoais de seus clientes para o desempenho dessa atividade).
Além de não ter regras expressas e claras sobre a possibilidade da existência de mais de um agente de tratamento (controlador ou operador), a LGPD também não especifica a possibilidade de designação de mais de um encarregado.
Ao contrário, o encarregado, é sempre tratado no singular (arts. 5º, VIII; 23, III; 41, caput, §§ 1º a 3º) e, não bastasse isso, o art. 23, III, da LGPD prevê a indicação de apenas “um encarregado” pelas pessoas jurídicas de direito público.
Pode-se afirmar que o controlador e o operador podem designar mais de um encarregado, para atuar de forma conjunta na organização ou até mesmo para desempenhar suas funções de forma fracionada, em setores diferentes (administrativo, jurídico, tecnologia da informação, entre outros)? Por exemplo, a existência de um grande volume de dados tratados, em operações variadas em diversos setores em uma organização com mais de 5.000 funcionários, poderia justificar a indicação de dois ou mais encarregados?
Da mesma forma que é possível extrair da LGPD a permissão implícita para a existência de co-controladores e de operadores para o tratamento de dados pessoais, também se pode sustentar a possibilidade de designação de encarregados (pessoas naturais ou jurídicas, do quadro de funcionários do controlador ou prestadores de serviços externos).
O principal fundamento a ser utilizado para tal autorização é o princípio da legalidade, segundo o qual o que não for expressamente proibido em lei é permitido. Contudo, por outro lado, o princípio da legalidade administrativa preceitua o inverso, ou seja, o que não for expressamente permitido em lei é proibido para o agente administrativo. Em consequência, e levando em conta o art. 23, III, da LGPD, as pessoas jurídicas de direito público podem designar apenas um encarregado.
Além disso, o caráter multidisciplinar das funções do encarregado também fundamenta a possibilidade (e a necessidade) de indicação de encarregados, de acordo com as áreas de especialização pertinentes.
Alguns critérios específicos, como a complexidade e o volume de dados tratados, a quantidade de operadores e de outras pessoas envolvidas nessas atividades podem justificar a designação de mais de um encarregado.
Não se trata de uma questão que possa ser regulamentada previamente pela ANPD, com a delimitação de critérios objetivos, mas sim de uma escolha do controlador, de acordo com as necessidades da organização e da quantidade de funções atribuídas ao(s) encarregado(s). Logo, a eventual deliberação do assunto pela ANPD pode ser destinada a esclarecer a permissão legal para a designação de dois ou mais encarregados.
Por exemplo, uma empresa de telefonia controladora dos dados pessoais de milhões de clientes pode designar um encarregado para ser o ponto de contato com os titulares (ou até mesmo mais de um, dividindo as suas atribuições em diferentes regiões do país, ou com base em outros critérios), outro(s) para atuar como ponto de contato com a ANPD (e outros órgãos administrativos, como o PROCON), outro(s) para atuar como ponto de contato com o Judiciário (prestar informações, auxiliar os advogados da controladora na defesa em processos judiciais, entre outras atribuições), outro(s) para exercer a função de orientação dos funcionários e dos contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, outro(s) para atuar no contato com empresas terceirizadas e prestadoras de serviços, entre outras possibilidades de indicação de encarregados.
Além disso, uma alternativa viável para substituir a designação de diversos encarregados é a criação de um órgão colegiado, que pode tanto ser o encarregado, quanto ter a função de auxiliar o único encarregado indicado. Nesse caso, o colegiado deve ser formado por pessoas que representem os setores da organização envolvidos com as atividades de tratamento (e, eventualmente, outros que possam auxiliar nas operações).
As pessoas jurídicas de direito público, que são limitadas a ter um encarregado, devem levar em conta a possibilidade de formar esse órgão colegiado, para ser ou para apoiar o encarregado no desempenho de suas funções.
Em resumo, apesar de a LGPD não ser suficientemente clara sobre a pluralidade da indicação de dois ou mais encarregados, e a despeito de sinalizar a existência de apenas um encarregado por controlador, ao utilizar a expressão no singular (arts. 5º, VIII, 23, III, e 41), a ausência de proibição expressa permite a pluralidade de encarregados, com fundamento no princípio da legalidade (o que não é expressamente proibido em lei é permitido). Por outro lado, o art. 23, III, da LGPD, determina a indicação de um encarregado para as pessoas jurídicas de direito público, razão pela qual se pode afirmar que essas pessoas podem ter apenas um encarregado (pessoa natural ou jurídica, da própria organização ou prestador de serviços), considerando o aspecto mais restritivo do princípio da legalidade na Administração Pública (que só pode fazer o que a lei expressamente autoriza). Em consequência, pode-se afirmar que as pessoas naturais e jurídicas de direito privado podem indicar mais de um encarregado, enquanto as pessoas jurídicas de direito público só podem designar um encarregado.
Artigo também publicado no Jusbrasil (clique aqui) e no Jus Navigandi (clique aqui).
Kommentare