A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018), comumente conhecida pela sigla LGPD, tem como objetivo a proteção dos direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural (art. 1º, LGPD). Nesse sentido, busca estruturar as salvaguardas necessárias à proteção das pessoas que, conforme suas definições, ocupam o papel de titulares, ou seja, aquelas pessoas naturais a quem se referem os dados que são objeto de tratamento (art. 5º, V, LGPD).
Com o propósito de traçar um caminho efetivo para a concretização dos direitos previstos na LGPD, buscamos investigar as premissas e obrigações estabelecidas na legislação, bem como as possibilidades de traduzi-las em entendimentos que favoreçam a atuação multidisciplinar entre profissionais. Conforme elucidado, essa interação é essencial para que tais direitos sejam, de fato, respeitados e efetivamente garantidos na prática.
A LGPD assegura a titularidade dos dados pessoais e a garantia de direitos fundamentais (art. 17, LGPD). Desse modo, conforme aborda Viviane Nóbrega Maldonado, o legislador conferiu um status diferenciado ao titular dos dados pessoais, a fim de que seus direitos sejam garantidos; “com efeito, ainda que o titular, voluntariamente, disponibilize irrestritamente os seus dados pessoais, mesmo que publicamente, subsiste a ele a plena titularidade, em liame indissociável” (MALDONADO, 2019, p. 2020).
Assim, se, por um lado, a LGPD tem como objetivo proteger o titular, por outro, impõe obrigações ao agente que realiza o tratamento dos dados pessoais. O controlador é justamente aquele a quem competem as decisões referentes ao tratamento desses dados (art. 5º, VI, LGPD). Ele é “o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento” (ANPD, 2022, p. 7). O controlador deve observar a legislação vigente e assegurar o nível de segurança esperado pelo titular no tratamento de seus dados pessoais, afim de evitar irregularidades legais (art. 44, LGPD).
Nesse contexto, destaca-se que entre os deveres do controlador está a garantia do exercício dos direitos dos titulares, especialmente aqueles previstos nos artigos 9º e 18 da LGPD, embora não se limitem a eles. O Guia de Boas Práticas: Lei Geral de Proteção de Dados (LGPD), do Governo Federal, inclusive, associa os próprios princípios estabelecidos no artigo 6º da LGPD aos direitos dos titulares (2020, p. 15–16). Nesse ínterim, ressaltamos a premissa legal de que o titular tem o direito de obter, a qualquer momento e mediante requisição, informações do controlador relativas ao tratamento de seus dados pessoais (art.18, caput, LGPD).
Para o exercício desses direitos, a legislação apresenta como uma primeira obrigação que o controlador indique o encarregado pelo tratamento dos dados pessoais (art. 41, LGPD), sendo uma das atribuições desse profissional aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências (art. 41, § 2º, I). Todavia, o cumprimento dessa previsão legal exige atenção especial, sobretudo quanto à efetiva indicação do encarregado e à disponibilização de um canal de comunicação adequado para atender aos titulares de dados pessoais.
O encarregado pelo tratamento dos dados pessoais é um cargo que surgiu com a promulgação da LGPD e que exige competências diversas. A fim de nortear sua atuação, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 18, de 16 de julho de 2024, que aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais, dispondo, nos artigos 15 e 16, suas principais atribuições. Nosso objetivo não é exaurir essas atribuições, mas comentar, de forma não exaustiva, aquelas que estão diretamente relacionadas à efetividade da comunicação com os titulares de dados pessoais, com o propósito de investigar o cumprimento dos termos da lei no exercício dos seus direitos.
Segundo a LGPD, é obrigação do controlador divulgar publicamente a identidade e as informações de contato do encarregado (art. 41, LGPD). A ANPD determina que o agente de tratamento deve divulgar e manter atualizadas essas informações (art. 8º, Resolução nº 18/ANPD), devendo a identidade e os dados de contato do encarregado ser disponibilizados de forma clara e objetiva, em local de destaque e de fácil acesso no sítio eletrônico do agente de tratamento, ressalvada a hipótese de o agente não possuir sítio eletrônico (art. 9º, caput, Resolução nº 18/ANPD). Nessa segunda situação, o agente de tratamento poderá realizar a divulgação por quaisquer outros meios de comunicação disponíveis, especialmente aqueles usualmente utilizados para contato com os titulares (art. 9º, § 3º, Resolução nº 18/ANPD).
Conforme a Resolução nº 18/2024, a divulgação da identidade do encarregado deverá abranger, no mínimo, o nome completo, se for pessoa natural, ou a razão social ou o nome do estabelecimento, bem como o nome completo da pessoa natural responsável, no caso de pessoa jurídica (art. 8º, Resolução nº 18/ANPD). Para a ANPD, essas informações constituem os “dados mínimos relativos aos meios de comunicação que viabilizam o exercício dos direitos dos titulares junto ao controlador, sendo, portanto, essenciais para que os titulares consigam se comunicar com o encarregado com o objetivo de exercer os direitos previstos na LGPD” (ANPD, 2024, p. 19).
Todavia, conforme o processo de fiscalização iniciado pela ANPD em dezembro de 2024, a realidade observada se mostra distinta da conformidade legal. Além da ausência de uma identificação adequada do encarregado — com nome completo e meios de comunicação acessíveis —, destaca-se a inexistência de uma interação efetiva com os titulares de dados. O canal disponibilizado para esse fim restringe-se, quase unanimemente, ao endereço eletrônico (e-mail) informado no sítio eletrônico do controlador, o qual, em muitos casos, não proporciona retorno ao titular, devido a falhas significativas no processo de comunicação, incluindo: (i) problemas no envio e recebimento da requisição; (ii) ausência de um profissional qualificado para respondê-la; (iii) desorganização interna para conduzir as tratativas e providenciar as soluções necessárias; (iv) falta de atenção do agente de tratamento em oferecer retorno adequado e tempestivo, entre outras deficiências.
Nesse cenário, defendemos como fundamental a existência de uma atuação multidisciplinar entre profissionais, voltada à adequada gestão dos direitos dos titulares de dados pessoais. Embora o encarregado seja responsável por conduzir a comunicação com os titulares, essa atividade não é exclusiva nem isolada. Pelo contrário, trata-se de uma função de assessoramento e orientação, uma vez que a responsabilidade pela manutenção da conformidade recai sobre o controlador, conforme estabelece a ANPD na Resolução nº 18/2024 e no Guia de Boas Práticas de 2024.
Ainda, por força do art. 16 do Regulamento, o encarregado possui papel de assessoramento e orientação em várias atividades. Nesse sentido, reforça-se, conforme o art. 17, que ele não é o responsável, perante a ANPD, pela conformidade do tratamento dos dados pessoais realizado pelo controlador (ANPD. 2024, p.22).
A Resolução nº 18/2024 estabelece que o agente de tratamento deve prover os meios necessários para o pleno exercício das atribuições do encarregado, compreendendo, entre outros, recursos humanos, técnicos e administrativos (art. 10, I, Resolução nº 18/2024). Além disso, deve garantir ao encarregado acesso direto às pessoas em níveis hierárquicos superiores na organização, aos responsáveis pela tomada de decisões estratégicas relacionadas ao tratamento de dados pessoais, bem como às demais áreas da instituição (art. 10, V, Resolução nº 18/2024).
Dessa forma, é imprescindível que o controlador disponha de um planejamento estratégico que contemple os recursos necessários para que o encarregado possa, de fato, exercer uma gestão eficaz da área de proteção de dados pessoais. No contexto dessa gestão, a interação com áreas correlatas é essencial para assegurar o efetivo exercício dos direitos dos titulares. Tal atuação requer um trabalho colaborativo e multidisciplinar, envolvendo profissionais com diferentes especializações, a fim de garantir a conformidade legal e a consolidação de uma cultura organizacional voltada à proteção de dados.
A área de marketing e comunicação, por exemplo, tem um papel esclarecedor na garantia de um ambiente destinado às requisições dos titulares claro, intuitivo e de fácil compreensão. Cabe a essa área assegurar que as informações sobre o exercício dos direitos estejam disponíveis de forma acessível e organizada no sítio eletrônico do controlador, facilitando a navegação e o envio das requisições por parte dos titulares.
A área de tecnologia da informação desempenha o pilar essencial na garantia da funcionalidade do sítio eletrônico e dos canais de comunicação utilizados pelos titulares de dados pessoais. É por meio de ferramentas tecnológicas adequadas e da sua constante manutenção que se assegura um ambiente digital estável, seguro e acessível, permitindo que os titulares possam exercer seus direitos com eficiência. Isso inclui a viabilidade de registrar, transmitir e receber requisições, bem como garantir que essas sejam corretamente processadas e respondidas pelo controlador dentro dos prazos legais, assegurando a disponibilidade e integridade das informações.
A segurança da informação é fundamental para garantir que as requisições dos titulares de dados pessoais sejam armazenadas em ambiente seguro, com acesso restrito apenas aos profissionais devidamente autorizados. A implementação de mecanismos de gestão de identidade e controle de acesso asseguram que apenas pessoas habilitadas possam visualizar e tratar essas informações, preservando a autenticidade e a confidencialidade dos dados.
A área de proteção de dados pessoais exerce um papel central no atendimento às requisições dos titulares, devendo contar com profissionais qualificados e capacitados para atuar com responsabilidade e conhecimento especializado. Quando não for o próprio encarregado, é essencial que os profissionais designados estejam aptos a conduzir comunicações e interações com os titulares de forma clara, precisa e respeitosa. Essa área deve garantir que todas as requisições recebidas sejam devidamente analisadas, respondidas e acompanhadas de esclarecimentos adequados.
As lideranças que representam o controlador desempenham um papel essencial na promoção da colaboração interna e no alinhamento institucional diante das requisições dos titulares de dados pessoais. É fundamental que respondam de forma ágil e assertiva aos questionamentos encaminhados pelo encarregado ou pela área de proteção de dados, contribuindo com esclarecimentos necessários para a adequada condução das tratativas. Ao fornecerem informações completas e tempestivas, as lideranças asseguram que as respostas aos titulares reflitam a postura institucional, o compromisso com a transparência e a responsabilidade no tratamento de dados pessoais.
A área de compliance tem um papel de assegurar a integridade e o equilíbrio no tratamento das requisições dos titulares de dados pessoais. Sua atuação, especialmente quando demandada pelo encarregado ou pela área de proteção de dados, é essencial para acompanhar e orientar as tratativas internas, garantindo que o retorno ao titular esteja alinhado com princípios éticos, legais e regulatórios. Esse papel torna-se ainda mais relevante em situações em que o tratamento de dados pode afetar aspectos sensíveis ou íntimos da vida pessoal do titular, exigindo uma resposta cuidadosa, responsável e humanizada.
A assessoria jurídica exerce um papel imperativo na análise e na razoabilidade das requisições dos titulares de dados pessoais, contribuindo para a conformidade da resposta com a LGPD e com o ordenamento jurídico como um todo. Compete a essa área identificar eventuais fragilidades nas requisições que possam entrar em conflito com outras legislações ou interesses legítimos do controlador, como nos casos que envolvem segredos de propriedade intelectual, industrial ou obrigações contratuais. Assim, a assessoria jurídica deve avaliar os impactos dessas requisições sobre o negócio e a prestação de serviços, propondo esclarecimentos que viabilizem o atendimento ao titular sem comprometer a segurança jurídica do controlador.
Certamente, a atuação das áreas mencionadas não é exaustiva, podendo se desdobrar ou adaptar em um ambiente de tratamento de dados pessoais mais ou menos complexo, a depender da estrutura e das particularidades de cada agente de tratamento envolvido. Todavia, é preciso observar que esse agente, especificamente o controlador, é o responsável por tomar as decisões e exercer um papel estratégico fundamental para que os direitos dos titulares de dados pessoais sejam devidamente respeitados e efetivamente exercidos.
A norma ISO 37000:2022, que trata dos princípios fundamentais da governança organizacional, destaca elementos essenciais como propósito, engajamento, transparência, responsabilidade e ética. Esses princípios devem orientar a estrutura e a prática da governança em privacidade, permitindo o fortalecimento da cultura organizacional voltada à proteção de dados.
Com base neles, é possível refletir sobre a efetividade do exercício dos direitos dos titulares, em consonância com os fundamentos (art. 2º) e os princípios (art. 6º) estabelecidos pela Lei Geral de Proteção de Dados Pessoais (LGPD). Isso contribui para o cumprimento de um objetivo central da legislação, a saber: estabelecer uma relação de confiança entre os titulares e os agentes de tratamento, por meio de uma atuação transparente, responsável e ética. Nesse contexto, o Programa de Governança em Privacidade, previsto no art. 50 da LGPD, estabelece que os agentes de tratamento devem assegurar mecanismos eficazes de participação dos titulares, promovendo o engajamento ativo e contínuo em torno da proteção de seus dados pessoais (art. 50, §2º, I, “e”, LGPD).
Para tanto, é necessário planejar e atuar de forma multidisciplinar, com profissionais comprometidos com a colaboração e a conformidade legal, a fim de garantir que o controlador cumpra seu dever de proporcionar aos titulares meios céleres, eficazes e adequados para a comunicação com o encarregado e para o exercício de seus direitos (art. 10, IV, Resolução nº 18/2024 da ANPD). Essa conduta evidencia, na prática, o respeito ao direito e à garantia fundamental à proteção de dados pessoais, conforme expressamente reconhecido pela Emenda Constitucional nº 115, de 10 de fevereiro de 2022.
Portanto, essa atuação coesa e comprometida fortalece a governança e evidencia o engajamento com os critérios e obrigações estabelecidos na legislação. Uma comunicação bem estruturada, aliada a uma atuação diligente, contribui diretamente para a transparência no relacionamento com o titular, reforçando a confiança no tratamento de dados pessoais. Ao promover a resolução efetiva das requisições e assegurar respostas adequadas, o controlador reafirma seu compromisso institucional com a proteção de dados e com a confiança do titular, garantindo o cumprimento responsável dos direitos previstos na LGPD.
Cathiani Bellé, Encarregada de Dados (DPO) do Instituto Nacional de Proteção de Dados, Doutoranda e Mestra em Ética e Política (UFPR); Pós-Graduada em Advocacia no Direito Digital e Proteção de Dados (EBRADI); Pós-Graduada em Direito Digital, Compliance e LGPD (UNINTER); Bacharel em Direito (FESP) e Bacharel com Licenciatura Plena em Filosofia (UFPR).
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 37000:2022: Governança de organizações – Orientações. Rio de Janeiro: ABNT, 2022.
LGPD: Lei Geral de Proteção de Dados comentada/ coordenadores Viviane Nóbrega Maldonado e Renato Opice Blum. – 2. ed. rev., atual. e ampl. – São Paulo: Thomson Reuters Brasil, 2019.
BRASIL. Autoridade Nacional de Proteção de Dados. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado. Versão 2.0. Brasília, DF: ANPD, 2022. [Disponível em: https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf ].
BRASIL. Autoridade Nacional de Proteção de Dados. Resolução CD/ANPD nº 18, de 16 de julho de 2024. Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais. Brasília, DF. 2024.
BRASIL. Autoridade Nacional de Proteção de Dados. Guia orientativo: atuação do encarregado pelo tratamento de dados pessoais. Brasília, DF: ANPD, 2024. [Disponível em: https://www.gov.br/anpd/pt-br/centrais-de-conteudo/materiais-educativos-e-publicacoes/copy_of_guia_da_atuacao_do_encarregado_anpd.pdf ].
BRASIL. Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Altera o artigo 5º da Constituição Federal, para incluir a proteção de dados pessoais entre os direitos fundamentais. Diário Oficial da União, Brasília, DF, 10 fev. 2022.
BRASIL. Guia de boas práticas: Lei Geral de Proteção de Dados (LGPD). Gov.br. Agosto 2020. [Disponível em: https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/guias/guia_lgpd.pdf ].
Fonte: TI INSIDE Online - Leia mais
