Encarregado de Proteção de Dados (EPD) ou Data Protection Officer (DPO)
I – Introdução
Todos já sabem que a proteção de dados na União Europeia é regulada pela RGPD (Regulamento 2016/679) e que as infrações podem gerar multa de, até, 20 milhões de euros.
Além disso, a norma é aplicável a qualquer país, independente de pertencer, ou não, a União Europeia, bastando que o tratamento de dados de dados pessoais refira-se à pessoa singular que esteja no território da UE.
Portanto, mesmo em se tratando de um detentor de dados do Brasil, por exemplo, mas que trata de dados pessoais de pessoa singular que esteja na União Europeia, não se aplicaria a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº. 13.709/2018.
Portanto, eis a importância do estudo da RGPD para restante do mundo.
Considerando que, a evolução tecnológica e a globalização crescem rápida e continuamente, é natural que as pessoas singulares forneçam seus dados pessoais cada vez mais, de forma voluntária ou involuntária.
Em razão disso, a RGPD estabelece as regras relativas à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, defendendo direitos e as liberdades fundamentais dessas pessoas, nomeadamente o seu direito à proteção dos dados pessoais.
II – Definição de dados pessoais na RGPD
Para efeitos da RGPD, entende-se por “dados pessoais”:
(…) “a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular” (art. 4º, 1).
III – Violação de dados pessoais
Violação de dados pessoais é aquela violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Vale destacar que a violação é punível, mesmo que se alegue que o ato foi acidental. Assim, fica evidenciada a responsabilidade daquele que detém e trata os dados pessoais.
IV – Consentimento
Outra definição importante é a relativa ao consentimento. Segundo a RGPD, consentimento é uma manifestação de vontade do titular dos dados, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
Vale lembrar que, quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
Além disso, se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento.
Frise-se que, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento.
O tema consentimento é complexo, gerando diversas interpretações. Abordaremos esse assunto em outra oportunidade, de maneira mais aprofundada.
V – Tratamento de categorias especiais de dados pessoais
A RGPD faz menção ao tratamento de categorias especiais de dados pessoais. De acordo com o artigo 9º, 1, do Regulamento:
“É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”.
Contudo, há casos em que a proibição não se aplica – o que é detalhado no próprio artigo.
VI – Direito da portabilidade dos dados
De acordo com o artigo 20º, da RGPD, o titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, dentre algumas hipóteses.
O tema portabilidade também merece especial atenção, pelo que também faremos uma bordagem específica.
VII – Direito de oposição
O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, com base no artigo 6º, nº 1, alínea e) ou f), ou no artigo 6.º, nº 4, da RGPD, incluindo a definição de perfis com base nessas disposições.
Nesse caso, o responsável pelo tratamento deve cessar o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
VIII – Responsabilidade do responsável pelo tratamento
Tendo em vista a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, além dos riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento deve aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento.
Ao tratar de responsabilidade, deve-se fazer menção ao subcontratante, que é a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
IX – Comunicação de uma violação de dados pessoais ao titular dos dados
Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
X – Encarregado da proteção de dados
A designação do Encarregado de Proteção de Dados (EPD) ou Data Protection Officer (DPO) é tratada no artigo 37, da RGPD. Apesar de não ser obrigatório, a designação de um EPD é recomendada a todas as grandes organizações, principalmente aquelas que tratam de dados sensíveis.
Para melhor fundamentar, conveniente transcrever o que diz o mencionado artigo 37, da RGPD:
1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou
c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º.
Ainda em relação ao encarregado de proteção de dados, vale dizer que, um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.
Em razão da complexidade do tema “Encarregado da proteção de dados”, teremos um texto exclusivo para tratá-lo.
XI – Legislação em Portugal
Em razão da relação de investidores e organizações entre Portugal e Brasil, vale mencionar que, em Portugal há duas legislações pertinentes à proteção de dados pessoais e a RGPD:
A Lei n.º 58/2019, de 8 de agosto: Que assegura a execução, na ordem jurídica nacional, da RGPD, relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Lei n.º 59/2019, de 8 de agosto: Que aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.
Adriano Martins Pinheiro é advogado, sediado em Portugal e com filial em São Paulo/BR, pós-graduado em direito empresarial e contratos pela FGV, direito imobiliário pela EPD, palestrante, formador e escritor (pinheiro@advocaciapinheiro.com)
Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº. 13.709/2018