O ENCARREGADO DE PROTEÇÃO DE DADOS NA LEI GERAL DE PROTEÇÃO DE DADOS SOB O PARADIGMA DA GENERAL DATA PROTECTION

Abstract

Visa-se analisar a figura do encarregado de proteção de dados pessoais concebido pela Lei Geral de Proteção de Dados sob o paradigma da General Data Protection Regulation. O estudo é realizado sob a linha de pesquisa Construção do Saber Jurídico, do Programa de Pós-Graduação em Direito. Utiliza-se o método dedutivo e a revisão bibliográfica, consubstanciada em análise da literatura jurídica e da legislação, brasileira e da União Europeia. Para tanto, examina-se o contexto econômico e jurídico em que se insere a proteção de dados pessoais. Após, aborda-se os temas essenciais da Lei Geral de Proteção de Dados para compreensão do encarregado de proteção de dados. Por fim, se analisa ponto a ponto as diversas temáticas que emolduram a figura do encarregado de proteção de dados, comparando-se as disposições da Lei Geral de Proteção de Dados com as da General Data Protection Regulation sobre o data protection officer. Conclui-se que as funções do data protection officer na Lei Geral de Proteção de Dados são equivalentes às da General Data Protection Regulation. Além disso, o data protection officer pode ser pessoa natural ou jurídica, que atua interna ou externamente na organização. Em seguida, conclui-se que o data protection officer precisa ter conhecimento em Direito sobre proteção de dados pessoais, com capacidade para exercício de suas funções, a despeito de não lhe ser exigida uma formação específica em determinada área. Demais, haverá conflito de interesses entre o exercício da função de data protection officer em favor de uma organização para a qual preste outros serviços se nestas atividades houver decisão sobre finalidades e meios de tratamento de dados pessoais. Por outro lado, o conflito de interesses entre o advogado que preste serviços à organização e o exercício da função de data protection officer é indissociável, porque os objetivos das funções são díspares. É obrigatória a designação de data protection officer pelo controlador, mas àquele que não estiver obrigado, caso o indique, deverá observar o mesmo regime jurídico aplicável ao data protection officer obrigatório. Outrossim, a não obrigatoriedade da indicação do data protection officer não dispensa a observância da Lei Geral de Proteção de Dados. Conclui-se, também, que o data protection officer pode ser uma consultoria externa especializada, podendo ser compartilhado entre diversos agentes de tratamento. Além do mais, conclui-se que o data protection officer tem autonomia para funcionar em busca do cumprimento do regime jurídico de proteção de dados pessoais, e, nesse sentido, a documentação dos seus atos, obrigatória, auxilia a preservação dessa autonomia. Por fim, sobre a responsabilidade civil, conclui-se ser o agente de tratamento responsável direto perante a Autoridade Nacional de Proteção de Dados e os titulares de dados, bem como por eventual violação de normas sobre proteção de dados pessoais, a caber ao agente de tratamento regressar em face do data protection officer, conforme a relação jurídica que este mantenha com a organização, caso haja praticado ilícito em suas funções. E no caso da responsabilidade do ponto de vista penal, será o data protection officer responsável na hipótese em que efetivamente tenha dado causa a eventual violação de bem jurídico protegido por norma penal.