15/06/2022 às 17h05min - Atualizada em 15/06/2022 às 17h05min

O encarregado de proteção de dados na administração pública

Quem é ele, quais devem ser suas competências e habilidades e qual é o seu papel na proteção dos dados pessoais dos cidadãos brasileiros?

Marcella Blok

Marcella Blok

Co-fundadora de Blok Compliance. Sócia da Blok Consultoria Legal. Coord. e profª convidada de Pós Graduações em Direito e Compliance

Temos duas certezas em nossas vidas. A primeira é a de que morreremos. A segunda é a de que os nossos dados pessoais estarão sendo, constantemente, usados por terceiros nas mais distintas formas (e eventualmente, de forma irregular).

Para que o correto e diligente tratamento de dados  dos cidadãos brasileiros seja levado a cabo da melhor forma possível, faz-se mister que as regras de alguns dispositivos legais sejam cumpridas, incluindo, mas não se limitando, àquelas previstas pela  Lei Geral de Proteção de Dados Brasileira (a Lei 13709 ou LGPD), a qual exige uma série de direitos, garantias e principios capazes de proteger a privacidade e a segurança dos dados pessoais de seus titulares, bem como da Instrução Normativa SGD/ME Nº 117/2020, que dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional, tema de nosso artigo. 

Afinal, sem um representante que personifica e representa a empresa mediante terceiros e com quem os titulares possam dialogar e interagir com a ANPD com o escopo de solicitar esclarecimentos, receber notificações e afins, determinada empresa não conseguirá demonstrar e comprovar a efetividade de seu programa de proteção de dados.

Recorde-se que os órgãos públicos são os “campeões” em tratar nossos dados pessoais. A gestão pública realiza o tratamento de diversas informações, tais como: nome completo, filiação e afins no momento do registro de nossas certidões de nascimento, de casamento e de óbito, na emissão de nossos documentos de identidade e CPF e em tantos outros momentos de nossas vidas. Tratam dados pessoais sensíveis, incluindo a orientação sexual, os dados biométricos, de saúde e sanguíneos. Como exemplo, o Ministério da Saúde detém dados de quem tomou a vacina Anti-covid; já o INSS possui dados de saúde para conceder eventual aposentadoria por invalidez. São muitas as informações em bancos de dados governamentais. 

Saliente-se que, de forma distinta do que ocorre no Regulamento Geral de Proteção de Dados Europeu (o RGPD), no Brasil, a figura do Encarregado de Proteção de Dados (EPD- assemelhando-se a do DPO- Data Protection Officer Europeu) é obrigatória, nos moldes do art 23,III  da LGPD, devendo ser ele, necessariamente, indicado pelos agentes de tratamento, a saber, o controlador (aquele que define e decide como se dará o tratamento de dados de seus usuários) e o operador (quem “obedece” ao controlador e executa o referido tratamento).

Destarte, é conditio sine qua non que o EPD atenda a determinados requisitos, tais como: não ser oriundo de área de tecnologia da informação, mas tendo expertise em tal tema;  devendo ser uma pessoa com conhecimentos multidisciplinares de questões jurídicas, de gestão de riscos, governança de dados e acesso à informação no setor público, sempre em um contexto de privacidade e proteção de dados pessoais; ademais de ser uma pessoa comunicativa  e responsável, devendo ser capaz de orientar seus empregados, e demais membros da equipe, a respeito das melhores práticas a serem tomadas no âmbito da governança dos dados tratados pelo órgão em consonância com as decisões do controlador e dialogar, não somente com os titulares acerca de eventuais esclarecimentos como também com a agência reguladora -   a ANPD . 

Cumpre ressaltar que, tal como ocorre com as empresas privadas e é igualmente previsto na Lei Europeia e nas leis latinas que tratam do tema, pessoas jurídicas que comprovem, por meio das pessoas físicas que as compõem, sua devida expertise e conhecimento múltiplo em temas correlacionados à proteção de dados dos titulares dos dados pessoais, também podem desempenhar as funções de DPO ou EPD. 

Atente-se que, em caso de o Encarregado ser um servidor público, a responsabilidade de tal agente é subjetiva e individual. Assim, o servidor público, perante a Administração Nacional, responderá de maneira subjetiva, dependendo da prova da existência do dano, do nexo de causalidade entre a ação e o dano e da culpa ou dolo da sua conduta. Assim, os servidores podem ser responsabilizados direta ou indiretamente na medida de seus atos omissivos ou comissivos. 

Mas como assegurar ao EPD sua devida independência e acesso direto ao tone from the top (a Alta Administração: no caso da administração pública, os ministros de Estado, diretores de autarquias e fundações e ocupantes de cargo de nível 6 do DAS) e a ausência de conflito de interesses deste representante? E mais: como garantir e comprovar que cada ente contará com esta importante figura capaz de ser o ponto focal em órgãos com bilhões de tratamentos (relembre-se que, com um único dado, podem ser realizados diversos tipos de tratamento: coleta, produção, compartilhamento, eliminação, bloqueio, dentre outros)? Não há uma resposta certa e categórica a tais questionamentos: somente o dia a dia nos mostrará o melhor caminho para tal.
Link
Leia Também »
Comentários »
Comentar

*Ao utilizar o sistema de comentários você está de acordo com a POLÍTICA DE PRIVACIDADE do site https://cidadesenegocios.com.br/.
Fale pelo Whatsapp
Atendimento
Precisa de ajuda? Fale conosco pelo Whatsapp