Sign up to save your podcasts
Or
Share Episódio #356 – Encarregado de Proteção de Dados
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Episódio #356 – Encarregado de Proteção de Dados
Neste episódio comentamos a minuta de regulamentação do Encarregado de Proteção de Dados (DPO) da ANPD. Você irá descobrir os detalhes sobre conflito de interesses, indicação formal e o futuro da função.
Guilherme Goulart e Vinícius Serafim analisam a audiência pública da ANPD sobre a regulamentação do Encarregado de Proteção de Dados. O debate aprofunda o conceito de conflito de interesses, um ponto crucial para a autonomia do profissional de privacidade e segurança da informação. A discussão aborda a necessidade de um ato formal para a nomeação, o papel do DPO em empresas que atuam como controlador ou operador, e as implicações do poder normativo da autoridade. Explore os desafios do tratamento de dados pessoais e a importância do compliance para cumprir a LGPD. Assine, siga e avalie nosso podcast para não perder nenhuma análise.
Ajude o Segurança Legal a continuar existindo. Visite nossa campanha de financiamento coletivo e nos apoie!
ShowNotes:
Henrique Ribeiro Cardoso
Foto do Episódio gerada pelo Dall-E via ChatGPT
Transcrição do Episódio
(00:02) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim.
(00:15) Olá, Guilherme. Olá, nossos ouvintes e aos internautas que nos acompanham no YouTube. Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas и sugestões de tema. Para isso, estamos à disposição no @segurancalegal, no Twitter, pelo e-mail [email protected], e no YouTube.com/segurancalegal, onde você pode ver em vídeo os nossos rostinhos lindos.
(00:35) E também no Mastodon, no @[email protected]. Temos a nossa campanha de financiamento coletivo no PicPay, picpay.me/segurancalegal, e também no Apoia.se, apoia.se/segurancalegal. Considere, como a gente sempre diz aqui, apoiar um projeto independente de produção de conteúdo e, se possível, apoie o Segurança Legal.
(01:07) Certo, Vinícius?
(01:08) E se não for o Segurança Legal, qualquer outro podcast independente que você acompanhe. É importante.
(01:17) Pessoal, vocês podem achar que não, mas tem bastante trabalho envolvido por trás até chegar neste momento, sobretudo hoje, em um episódio que exigiu um pouco mais de investigação. Todos têm, mas às vezes uns mais do que os outros. Já entrando no tema, Vinícius, que você já viu no título, foi essa última audiência pública realizada pela ANPD para a discussão dessa minuta que seria o regulamento sobre a atuação do encarregado de proteção de dados pessoais. Porque a LGPD estabelece a presença e a necessidade de um encarregado, coloca algumas regras, só que, como ocorre com as leis, e eu vou falar um pouquinho depois sobre como se dá essa questão da regulamentação de leis, a ANPD, enquanto autarquia, tem esse poder normativo de regular ou de estabelecer melhor como certas normas, regras ou até mesmo princípios se aplicam. Ela complementa a regra que está colocada lá. Inclusive, essa foi uma das discussões.
(02:38) Eu e o Vinícius vimos toda a audiência, que durou a manhã e boa parte da tarde. Então, nós dedicamos o nosso tempo para ouvir e fizemos algumas anotações. Uma coisa que chamou a atenção foi a intensa participação de membros, foram muitos, e cada um tinha 5 minutos para realizar suas considerações. O link da audiência no YouTube vai ficar no show notes, mas chamou a atenção o fato de vários desses participantes fazerem parte de um grupo de estudos. Chegavam lá, inclusive, todos orquestrados, e no final falavam:
(03:17) “Meu nome é fulano de tal, faço parte do grupo de estudos tal, de Estudos Avançados…”. Como a gente não conhecia esse grupo, fomos ver. Tinham um script. Chamou a atenção o fato de que um dos responsáveis por esse grupo de estudos é justamente o diretor daquela entidade ANPPD, que agora é a APDADOS, que inclusive foi processada pela ANPD. A gente comentou isso aqui em um dos nossos episódios, mas fica só o registro que me chamou a atenção essa participação tão intensa de pessoas que, pelo menos indiretamente, estavam envolvidas com o pessoal da ANPPD, hoje APDADOS.
(04:05) E, Guilherme, me chamou a atenção, e eu comentei contigo, a falta de alguns expoentes que nós temos na área de proteção de dados pessoais aqui no Brasil discutindo esse tema. Tem o Rafael Zanata, que é uma pessoa bastante qualificada nesse sentido, temos o Bruno Bioni, que também é um cara com bastante estofo, uma palavra que tu gostas, para essas temáticas. Eu senti falta desses rostos conhecidos que temos na área de proteção de dados e que são pessoas com reconhecimento bastante sólido de atuação. E aí tu disseste: “Ah, mas talvez eles atuem em um segundo momento”. Eu espero que sim, porque senti um pouco de falta disso. Me pareceu muito aleatória a coisa, do ponto de vista de algumas contribuições.
(05:21) Eu acho que precisa de uma discussão mais precisa, uma discussão bem feita sobre esse tema. Eu até estava procurando aqui enquanto você falava, mas não vou achar agora o que eu procurava. A ANPD possui, entre as suas atribuições, e a lei precisa estabelecer isso, já entrando nesse poder regulamentar da ANPD, a competência para ter esse poder normativo.
(06:12) Esse é um primeiro ponto. Inclusive, dentro dessa competência, ela também é obrigada a fazer consulta e audiência pública. Achei aqui, Vinícius, o artigo que eu queria. O artigo 55-J da LGPD, no seu parágrafo segundo, diz: “Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiências públicas, bem como de análise de impacto regulatório”. A gente sabe que muitas pessoas que participaram lá falaram: “Gostaria de parabenizar a ANPD por realizar essa consulta pública”.
(06:54) Eu diria que é quase como um ponto de educação. Só que não sei se é uma questão de se parabenizar, porque ela é obrigada por lei a fazer isso, não é uma iniciativa própria. Ela não fez porque quis, fez porque é obrigada a realizar audiências públicas. Claro que a gente poderia discutir, talvez em outro momento, como o Vinícius já tocou um pouco no assunto, o formato dessas audiências públicas. Isso sim pode ser discutido, mas enfim, essa é uma outra coisa que, pela quantidade de coisas que a gente quer falar, não vai dar tempo.
(07:29) Então, primeiro, ela tem esse poder normativo, esse poder regulamentar. E esse poder regulamentar de algumas autarquias não é somente da ANPD. Você tem, sei lá, o Banco Central, que é uma autarquia e tem uma produção normativa diária, basicamente. A Anatel, a Antaq, as agências… isso é, inclusive, uma das matérias de estudo dentro do Direito Administrativo: o poder normativo dessas autarquias. Só que esse poder normativo se dá na medida de complementar a lei quando você estiver diante de conceitos indeterminados ou quando a própria lei disser que tal tema vai ser tratado de tal forma.
(08:20) E essa atividade regulamentar se dá por meio de um ato administrativo. E às vezes, e essa foi uma crítica que algumas pessoas fizeram, não só hoje, mas já há muitos anos, décadas talvez, o direito não consegue regular atividades somente por meio de regras. Regras são aquela coisa bem restrita, que você consegue aplicar diretamente. Por exemplo, uma regra é: a velocidade máxima nessa via é 60 km/h. Não tem discussão. Agora, um princípio ou o uso de conceitos indeterminados ou abertos envolve um grau de abstração que às vezes é necessário para as leis e regulamentos. Ou seja, ele vai estabelecer certas coisas que o intérprete e o aplicador vão ter que ter um certo grau de discricionariedade na hora de selecionar. Não é possível regular, ainda mais uma atividade tão complexa como o tratamento de dados, somente com regras.
(09:30) Alguém pode dizer: “Ah, mas é um conceito indeterminado”. Sim, as leis e os regulamentos são cheios de conceitos indeterminados, faz parte da interpretação. Não é possível estabelecer, ainda mais diante de assuntos tão complexos, somente regras sem usar pontos que deem uma certa abertura, porque senão você congela completamente a norma em questão e sua aplicação fica mais restrita.
(09:56) E aí, Guilherme, é aquele entendimento de quem está de fora da área do direito, que eu vejo frequentemente: pessoas revoltadas com certas decisões em casos particulares, em demandas judiciais pessoais, que ficam: “Como é que o cara aceitou tal coisa?”. Não entendem o processo. Muitas vezes, claro, a gente não gosta quando tem uma decisão desfavorável ao nosso pleito em um processo judicial. É compreensível. Mas a ponto do pessoal falar como se fosse algo inventado…
(10:44) É porque não entendem. É como uma criatura que não é da Ciência da Computação querer explicar coisas complexas da área sem entender nada. Ela vai dizer um monte de bobagem. Talvez acerte um conceito ou outro, mas em geral será imprecisa e dirá coisas erradas. Como nós dois aqui. Nesse tema, eu vou dar meu pitaco, mas com muito cuidado, porque eu tenho um doutor em Direito do meu lado para dizer “você está errado”. Ele já limpou um pouco a minha pauta: “Guilherme, isso aqui é bobagem, pode tirar”.
(11:15) Eu nunca diria isso. Você tem temas que são muito passíveis de uma discussão entre nós, que permitem uma interação com outras áreas. É normal, porque é uma tarefa interdisciplinar. Mas você tem pontos que foram abordados lá que são eminentemente jurídicos.
(11:58) Por exemplo, essa questão do poder regulamentar. Algumas pessoas disseram: “É nulo, porque a ANPD não pode mudar a lei”. De fato, não pode, têm razão nesse sentido. Só que se você levar isso ao pé da letra, todo e qualquer regulamento será nulo, porque ele está prevendo coisas que não estão na lei. O objetivo não é repetir a lei, é complementar a lei. Nesse sentido, você sempre terá uma certa inovação, não criando obrigações que a lei не prevê, mas ainda assim você precisa preencher o que chamamos de discricionariedade técnica. Ou seja, você está diante de um caso aberto e o regulamento preenche aquilo, esclarece o cumprimento, diz como vai ser cumprido. E quem está dizendo isso não sou nem eu. Peguei aqui alguns autores, como Celso Antônio Bandeira de Mello, autor de um dos manuais de direito administrativo mais lidos no Brasil. Ele diz: “A margem de liberdade conferida pela lei ao administrador a fim de que este cumpra o dever de integrar com sua vontade ou juízo a norma jurídica, diante de um caso concreto, segundo critérios subjetivos próprios, a fim de dar satisfação aos objetivos consagrados no sistema legal”.
(13:12) Ou seja, a lei tem um propósito estabelecido pelo legislador. Porque a grande discussão é essa: por que o regulamento não pode preencher, mudar a lei ou criar novas obrigações? Porque seu processo de criação é diferente do processo legislativo. No processo legislativo, você teve deputados, senadores, todo o processo, as discussões, e a lei foi decidida. O regulamento só faz cumprir.
(13:50) E o agente administrativo, aqui no caso a autarquia, tem o poder de escolher os meios. Outro autor, Henrique Ribeiro Cardoso, fala justamente isso: a escolha dos meios. Tem o poder para escolher os meios eficientes para a implementação de diretrizes, objetivos e princípios expressos na legislação. Agora, claro, você deve fazer isso, continua ele dizendo, pautado pela regra da proporcionalidade. Eu especifico, digo como certos direitos e obrigações vão ser cumpridos para aquele setor regulado, sem ampliar.
(14:26) Só fazendo essas observações iniciais para deixar claro que não é bem assim como disseram, de que “vai ser nulo porque, por exemplo, o grande tema, que é o conflito de interesses, que a gente já pode ir entrando aqui…”. Alguém falou lá: “Ah, mas como a lei não fala sobre conflito de interesses, o regulamento não pode abordar a questão de conflito de interesses do encarregado”. Bom, se fosse assim, nós estaríamos diante da situação absurda de que, na falta do termo “conflito de interesses” na LGPD, o encarregado poderia agir com conflito de interesses, o que implicaria, em última medida, destruir completamente a utilidade do encarregado.
(15:04) É óbvio que ele precisa ter autonomia e uma certa independência. A forma como isso vai ser feito, claro, podemos discutir, mas me parece que a leitura teleológica de toda a lei, ou seja, os fins que a lei coloca, evidencia que a existência do encarregado contém essa regra implícita de que ele não pode ter conflito de interesse.
(15:42) Até porque, Guilherme, entre as diversas atribuições do encarregado, está justamente identificar situações de tratamento inadequadas dentro da organização, dentro do controlador. E se tu presumir que, porque não está na lei, pode haver conflito de interesse, ele ignora o que a LGPD demanda com relação ao tratamento, seus princípios e tudo mais, e faz aquilo que a empresa deseja, independente do que a LGPD coloca.
(16:24) A LGPD não é a primeira lei que estabelece algum tipo de papel dentro de uma organização que vai lidar com situações em que ele terá que contrapor certos objetivos da empresa porque a lei não permite. Quando tu tens equipe de compliance dentro da empresa, pessoal vinculado a acompanhar demandas do Banco Central, há sempre esse jogo. Até porque, muitas vezes, regulações impõem maiores custos e certas limitações nas atividades.
(17:09) No caso da LGPD, maiores custos para lidar com os dados com nível de proteção adequado, backup, e todas aquelas coisas que já sabemos, e ao mesmo tempo te impõe certas limitações. Não pode pegar os dados que tens e sair utilizando para qualquer outra finalidade que não aquela para a qual originalmente os obteve. Então, é óbvio que vai ter essas discussões entre o que deseja a empresa e o que permite a lei. No final das contas, quem atua no mercado nessa área sabe muito bem que é tudo uma questão de avaliação de risco.
(17:51) Há certas situações em que as empresas vão descumprir certas regulações porque calculam que o risco é pequeno diante do ganho que vão ter. Não que isso seja certo, não estamos incentivando isso, de jeito nenhum. Só estou dizendo que isso é a realidade do mercado. Se a percepção da empresa é que ela não vai ter maiores problemas, não vai ter maiores punições se fizer uma determinada prática, ainda que a lei não permita ou que haja ali uma zona cinzenta, ela pode eventualmente optar por assumir o risco. E a gente vê isso acontecendo.
(18:38) Então, essa questão de ter que dizer que não pode ter conflito de interesse, tudo bem, não faz mal. Só que a pessoa começa a entrar em: “Ah, tem que definir o que é conflito de interesse”. Poxa, tantas situações em que tu vais definir conflito de interesse. Vou pegar os exemplos mais bestas e óbvios.
(19:07) O encarregado é funcionário. E aí tens a situação em que ele está contrapondo certos planos de expansão da empresa porque certas estratégias que a empresa vai tomar podem ser inadequadas. Daqui a pouco, ele começa a ser tirado das reuniões. O que ele vai fazer? Vai denunciar a empresa para a ANPD que ele não está tendo independência suficiente para realizar o trabalho dele? Ele não está podendo se envolver nas reuniões, não tem poder decisório, a direção não quer ouvi-lo. Ele vai denunciar para a ANPD?
(19:39) Ele vai fazer isso. E se ele for terceiro, não funcionário interno, e tiver independência? Depende do quanto ele depende daquele contrato. E por aí vai.
(19:51) Você falou várias coisas aí. Primeiro, a gente tem que diferenciar o setor público do setor privado quando estabelecemos regulamentações, pelo menos no Brasil, onde temos um direito administrativo autônomo. Você disse: “Ah, tem várias outras regras que já estabeleceram conflitos de interesses”. Apesar de não ser advogado, você tem razão.
(20:18) “Ah, nós temos que definir o que é conflito de interesses”. Não. Você tem caminhões de regras e normas que estabelecem isso. Por exemplo, duas pesquisas rápidas: você falou em Bacen, tem uma resolução do Bacen, a 4.968, aplicada somente às instituições financeiras, que estabelece, dentro da questão dos controles internos, a segregação de atividades para evitar conflitos de interesses e a identificação e monitoramento independente das áreas que possuem potencial conflito de interesse, com revisão periódica. Isso está dentro de uma atividade muito maior de compliance, ou seja, busca-se identificar possíveis situações de conflitos de interesses que existem aos montes nas instituições e em setores regulados. Aqui demos o exemplo do Banco Central. Você precisa evitar isso porque tem uma norma.
(21:18) Veja que interessante: outra resolução, feita por outra autarquia, no caso o Banco Central, que também regula a questão de conflitos de interesses. Então, falar sobre conflito de interesses não é uma coisa nova, é uma coisa muito antiga. No setor público, nós também temos uma lei que aborda e visa regular a questão da gestão dos conflitos de interesses dos agentes públicos, a Lei 12.813 de 2013. Mas, mesmo se não tivéssemos essa lei, você tem os princípios da administração pública — finalidade, eficiência e, principalmente, impessoalidade — que, quando aplicados no caso concreto, nos levam a chegar à conclusão de que o agente público precisa agir sem conflito de interesses.
(22:15) Um dos grandes problemas que envolvem conflito de interesses é você presentear gestores públicos para que eles atuem não buscando o interesse público, mas favorecendo seus próprios interesses. Acontece toda hora, inclusive no judiciário e no executivo. Você tem até crimes, pode chegar a uma situação de corrupção. Então, mais uma vez, não é algo novo, é algo que já está no nosso ordenamento jurídico.
(22:50) Às vezes, os presentes são muito bons.
(22:53) Mas veja, o exemplo do presente é uma situação de conflito de interesse, claro. Quando a gente vai para o ramo da economia, por exemplo, e pega a “Encyclopedia of Law and Economics”, tem lá um verbete que é “Conflito de Interesses”, escrito por Remus Valsan. Ele diz, e eu vou ler algumas coisas aqui: “Fundamental para a noção de conflito de interesses é a ideia de que a capacidade de alguém de exercer um julgamento adequado corre o risco de ser afetada por interesse pessoal ou por um dever concorrente”. Então, nós temos duas questões aqui: os meus próprios interesses pessoais, e aí aquilo que tu falou antes, o teu emprego.
(23:49) Toda pessoa que for empregada ou que tiver um contrato de prestação de serviços terá o interesse pessoal de preservar seu emprego ou seu contrato. Se a empresa não der as condições de independência para ela, ela terá um conflito de interesses por interesse pessoal. Ou ela pode ter um dever concorrente, que vai acontecer quando uma pessoa com uma certa posição dentro de uma empresa, ao tomar decisões, outra tarefa dela pode comprometer esse julgamento. O caso clássico, que inclusive vamos falar, é o sujeito ser Compliance Officer e DPO. Lá fora, na União Europeia, é caso de livro-texto, você não discute. Você não pode, porque senão o cara vai se autoauditar.
(24:40) Se o DPO ou encarregado desrespeita uma determinada norma interna, e o Compliance Officer, que seria a pessoa que iria puni-lo, é ele mesmo, não faz nenhum sentido. Ele continua: “Esses fatores extrínsecos interferem no julgamento não como fins que o tomador da decisão tem em vista, mas como fatores que tendem a influenciar os fins. A presença desses fatores coloca em risco a capacidade do tomador de avaliar o peso a ser dado às considerações nas quais a decisão se baseia”. Agora, notem que o conflito de interesse, apesar de a LGPD e nenhum regulamento dizerem isso, precisa ser um conflito sério, atual, presente, objetivo e verificável. Porque, em última análise, todos nós temos nossos conflitos e interesses pessoais cotidianamente.
(25:40) E veja, essa é até uma questão psicológica. Existem estudos que avaliam e testam isso. Pegam grupos para fazer avaliação de alguma coisa, para um dão dinheiro, para outro não, e medem o conflito de interesses dessa forma. O ponto é esse, e esse conflito deve ser atual, verificável e objetivo.
(26:08) Agora, você tem formas de lidar com isso. Um processo de conformidade, uma área de compliance, visa justamente fazer isso, entre outras coisas. Você estabelece um código de ética dentro da instituição, e entre as coisas muito comuns em códigos de ética está a questão dos presentes. É um exemplo básico de conflito de interesse você receber presentes de pessoas sobre as quais sua decisão poderia ser afetada pelo recebimento desse presente. Claro que estamos falando aqui de organizações de tamanhos muito diferentes, mas isso no âmbito da administração de empresas e na própria questão de conformidade já existe. Outra forma de lidar com conflito de interesse é você dar o máximo de informações possíveis que possam afastar eventuais situações de suspeitas sobre conflitos aparentes. Por isso que se falou muito na audiência que não devemos dar a identidade do encarregado porque as pessoas poderiam ir atrás dele nas redes sociais.
(27:16) Não me parece que essa seja uma justificativa para não dar o contato dele, a identidade, que é o que a lei diz. Porque você tem uma série de outros cargos em que a identidade precisa ser sabida, não só no setor público, mas no privado também, como diretor de S.A. e coisas do tipo. Em última análise, essas pessoas também poderiam ser afetadas. Não creio que essa seja uma desculpa. Se a pessoa é perseguida, é outro problema, que não deve ser discutido aqui.
(28:02) Mas me parece, Guilherme, que isso se cruza um pouco com aquela questão que a gente vai entrar também, que é a da indicação formal do encarregado.
(28:16) Exato. Porque, me corrija se essa ideia estiver errada, mas me parece que a ANPD poderia simplesmente exigir a formalização de quem é o encarregado junto a ela, de alguma forma. Alguém colocou isso lá. E no site, de repente, poderia constar simplesmente o escritório do encarregado, uma maneira não personalizada, um canal de atendimento não personalizado. E aí não precisaria saber o nome da pessoa que é o encarregado, desde que eu tenha condições fáceis, e aí tem as outras coisas que a LGPD também demanda, de exercer meus direitos.
(29:00) Se eu conseguir fazer isso, francamente, como titular, pouco me interessa o nome do encarregado. Agora, para a ANPD, é importante para não ficar uma coisa solta. A gente vai discutir a questão da indicação formal na sequência, mas me parece que não seria estritamente necessário colocar lá o nome de uma pessoa física que é o encarregado, tanto que o encarregado pode ser uma pessoa jurídica. Se é exercido por uma pessoa jurídica, eu não colocaria lá o nome da pessoa física que atende por meio da pessoa jurídica, eu colocaria o nome da pessoa jurídica como sendo o encarregado. De novo, não tenho o nome específico de alguém, tenho uma empresa que está atendendo essa outra com serviço de DPO. Não me parece algo essencial para o atendimento o nome do encarregado.
(30:10) Para o atendimento talvez não, agora junto à ANPD eu acho que sim. Eu concordo que sim. Mas era o que eu estava dizendo. Qual seria uma das formas para você afastar situações de conflitos de interesses presumidos, pressupostos ou aparentes? Dando o máximo de informações possíveis. Então você pode dizer, vamos imaginar, eu tenho uma pessoa que tem dois cargos dentro da empresa, que a norma permite que acumule cargos de encarregado, desde que não tenha conflito de interesse. Como eu lido para deixar bem claro que não há conflito de interesses? Bom, eu dou informação de quais são as atribuições dessas pessoas, porque daí outras pessoas conseguem olhar para aquelas atribuições e ver: “É, de fato, não tem relação, não tem conflito de interesse”.
(31:10) Agora, vamos imaginar situações em que eu não dou o nome do encarregado, seja pessoa jurídica ou física. A própria comunidade, a própria sociedade, por não saber o nome, não tem condições de ela tentar identificar situações de conflitos de interesses. Porque aqui, dentro da economia, eu tenho uma assimetria informacional. Parece-me que dar essa informação teria uma função não principal, mas adicional, de evitar ou de permitir que haja uma transparência no âmbito de eventuais situações de conflitos de interesse.
(31:46) O cara é diretor de compliance e DPO, e eu vejo o nome. Bom… E vamos lá, todo mundo que é DPO hoje em dia, não quero generalizar, mas já generalizando, vai lá no LinkedIn e faz questão de dizer que é DPO. Então, essa questão de não dizer, acho que o pessoal até ficaria chateado de não botar o nome. Eu nunca vi um encarregado que, todas as vezes que eu vou ver o LinkedIn, não esteja lá essa informação.
(32:19) Essa questão de você dar informações para a tomada de decisões me parece que seria importante. Bom, o GDPR fala sobre a questão do encarregado no artigo 38, número 6, e diz justamente que o responsável pelo tratamento (no caso, nossos agentes de tratamento) ou o subcontratante (que seria o operador) assegura que essas funções e atribuições não resultem num conflito de interesse. O que na União Europeia tem se dito em decisões? A gente fez uma pesquisa de decisões tanto de autoridades quanto do Tribunal de Justiça da União Europeia.
(32:59) Exemplos de conflitos de interesse: encarregado que era presidente do conselho de trabalhadores na Alemanha, decisão confirmada pelo Tribunal de Justiça da União Europeia. Em Luxemburgo, um DPO que também era chefe de conformidade, diretor de relatórios de lavagem de dinheiro. A justificativa: neste caso, o DPO estava envolvido na determinação e implementação do processamento de dados como parte de suas funções como chefe de conformidade e, portanto, estava obrigado a avaliar as práticas de processamento de dados que ele mesmo havia implementado. Nenhuma das medidas tomadas pelo controlador para mitigar o risco de conflito de interesses, como o fato de que, em caso de um potencial conflito, as práticas de processamento em questão precisariam ser contra-assinadas pelo superior hierárquico do DPO, foram consideradas suficientes.
(34:07) Você tem práticas de mitigação. Você pode, por exemplo: “Eu sou o chefe do RH e quero ser DPO”. Beleza, então outra pessoa vai estabelecer as hipóteses e a forma de tratamento naquele setor. Poderia ser uma forma de mitigação, ou a questão da contra-assinatura, ou você vai ter um comitê. Existem formas. A lei não está dizendo que não pode, porque em última análise, qualquer funcionário da empresa é funcionário da empresa e tem outras atividades. Em geral, a pessoa que acaba sendo DPO tem atividades gerenciais. Com todo respeito, você não vai pegar o vigia para ser DPO. Você vai pegar cargos gerenciais, pessoas que têm uma posição gerencial.
(34:55) Se levarmos ao pé da letra, nunca vai poder acumular. Por isso que tem que ser objetivo. Ainda, a AEPD, na Espanha, disse que o encarregado não poderia ser diretor executivo, diretor de operações, diretor financeiro, diretor médico, chefe do departamento de marketing, chefe de recursos humanos, mas também outras posições mais baixas na estrutura organizacional se tais posições levarem à determinação dos meios e propósitos do processamento de dados. Esse é o ponto, não é bem o cargo, mas as suas decisões.
(35:38) Ainda, em Berlim, na Alemanha, um encarregado que também era diretor de duas outras empresas que atuavam como operadoras da controladora. Olha que interessante: o cara era encarregado da controladora, mas era diretor de duas outras operadoras que prestavam serviços para essa controladora. Conflito evidente de interesses aqui. E veja, isso é comum no mercado, não é tão difícil de ver situações dessa natureza, sobretudo em grupos.
(36:12) Ainda na Alemanha. Na Bélgica, agora, um DPO ocupava várias outras funções, incluindo liderança de gerenciamento de risco operacional de um banco e unidade de investigação especial. Na Bélgica, de novo, auditoria interna, gestão de risco e conformidade. Na Islândia, a encarregada era simultaneamente advogada sênior da empresa e vice-CEO e membro do Conselho.
(36:40) Na Bélgica, teve uma situação em que um CISO (Chief Information Security Officer), naquele caso concreto, não foi considerado em conflito de interesses, porque se conseguiu comprovar que as decisões sobre tratamento de dados não eram feitas por ele. Ele não tinha essa competência, era competência da direção de informática. No caso concreto, se comprovou que não tinha, mas veja, foi submetido.
(37:22) E por último, uma questão um pouco mais avançada: uma situação em que o DPO também era advogado, o que é muito comum. Considerou-se que não é o controlador a parte responsável para conferir se um encarregado externo (advogado) possui conflito de interesses. O caso é bem interessante: vamos imaginar que o DPO é advogado. Ele vai ser especialista em proteção de dados, presume-se. E ele vai atuar nessa área.
(38:09) Imagine uma situação básica de conflito de interesses: ele nunca poderia representar um cliente titular que foi afetado pelas práticas do agente de tratamento do qual ele é encarregado. Ele não poderia advogar contra a própria empresa, mesmo que ele só seja DPO. O que se estabeleceu em Luxemburgo é que deve ser o advogado a declarar essas situações quando acontecerem, pois isso estaria dentro das normas éticas da advocacia. É plenamente possível. Ou ele advoga para um concorrente, ou é DPO do encarregado e do operador. Como vai participar de uma reunião em que se discutem práticas em que há um dissenso entre as partes? Ele não tem a liberdade de tomar essas decisões.
(39:15) Uma coisa que ninguém falou, e que me surpreendeu, foi o conflito de interesses entre encarregados e gestores de TI e de segurança. As empresas, cotidianamente, por acharem erroneamente que proteção de dados é somente uma questão de tecnologia, colocam nas costas desses gestores, principalmente os de segurança. Me parece que, claro, sempre precisamos analisar o caso concreto, mas é um caso muito flagrante de conflito de interesses.
(39:53) Sim, até porque é mais uma daquelas coisas que a gente vê no dia a dia, esses embates entre esses cargos. E não raro, isso acaba se acumulando, juntando tudo. O que eu achei complicado foi a tentativa de muita gente querendo especificar pontualmente o que seria o conflito de interesse. Eu acho que é um pouco difícil fazer isso, você corre o risco de fazer uma lista incompleta das situações.
(40:49) Algumas leis fazem isso. Acho até que um advogado comentou se não se poderia estabelecer um rol, aquela história entre rol aberto e rol fechado. E eu acho que ele comentou… pena que a gente não pegou o nome. Se vocês estiverem nos ouvindo, perdoem-me. Se quiserem que a gente dê o crédito, a gente dá. Mas poderia dar um rol aberto. O problema é que, mesmo diante do rol aberto, conforme todas essas decisões e o que já se escreveu sobre isso, o conflito de interesses não se dá a priori. Tanto que essa decisão da Bélgica, que disse que o CISO não tinha conflito de interesses, foi pelo simples fato de que, apesar de ser CISO, ele não tomava decisões sobre o tratamento de dados.
(41:50) O ponto é justamente que a regra me parece ser suficiente. Você sempre vai precisar olhar para o caso concreto para avaliar se havia ou não um conflito de interesse. Você pode partir de alguns exemplos e da jurisprudência estrangeira, por que não? Acho que demos bons exemplos aqui. Acredito que a regra seja suficiente nesse caso. Lembrando ainda que, além da questão do setor público, a própria ISO 27701, na parte de segurança, tem um controle específico de segregação de funções para evitar conluio e tudo mais. Reforçando a ideia de que não é algo novo, existe bastante coisa já escrita sobre conflito de interesses.
(42:47) Esse, sem dúvida, foi o assunto mais debatido. Foi o conflito de interesses, o que o pessoal mais citou. A cada dois, um falava sobre conflito de interesse.
(43:03) Mais até, eu acho. A cada três, cinco. Bom, aí depois teve a questão da indicação da identidade. Você tocou um pouco antes ali. Eu te confesso que se a razão for evitar que pessoas vão na rede social cobrar coisas do encarregado, não creio que seja uma boa razão. Há cargos que você vai precisar dar uma publicidade, sobretudo porque você está diante de um tipo diferente de interação das pessoas com as empresas. É algo novo também.
(43:48) Agora, a gente sabe também que, como eu disse antes, creio que seja importante para afastar situações de suspeitas de conflitos de interesses. Muito importante. A sociedade consegue ver: o cara é diretor de compliance e encarregado. Bom, tem um conflito de interesse e você não poderia. O risco dessa omissão seria indicar alguém com conflito de interesses e isso não ficar claro para a sociedade, ou ele não indicar o encarregado. Porque a nomeação pública é importante para mostrar para a sociedade, mas também para a ANPD. Imagine que a ANPD questiona o agente de tratamento sobre a existência de um encarregado, ele não definiu, não tem no site, mas ele indica depois. E a ANPD não tem como avaliar se isso foi feito antes.
(44:53) Isso se conecta, inclusive, com a questão do ato formal. “Ah, o que é ato formal? Eu vou ter que estabelecer o que é ato formal?”. Bom, você tem, dentro do direito dos contratos, por exemplo, toda uma teoria por trás do que é um contrato formal, a forma do negócio jurídico. Você também tem questões relacionadas a manifestações ou formas de declarações que são expressas ou tácitas, escritas, verbais, eletrônicas. Discutir o que é formal é básico do direito.
(45:37) Mas qual a utilidade do ato formal? Me parece que é justamente evitar que a empresa, quando instada pela ANPD para indicar se já havia feito a definição do encarregado, consiga comprovar que fez a indicação anteriormente à notificação. Porque senão, repito, o sujeito não indica no site e nem faz um ato formal, ele nomeou verbalmente. Se não precisa ser formal, poderia ser verbal. “Ah, mas o que eu vou fazer?”. Algumas pessoas disseram: “Ah, então significa uma ata? Significa colocar no contrato de trabalho dele que ele é encarregado?”. Sim, posso fazer por uma ata, posso fazer por meio do contrato.
(46:27) É a velha história de gerar evidências, Guilherme. Quando tu chegas e tens uma política formal, tu tens uma política formalmente estabelecida de não sei quê. O cara vai dizer: “Tenho”. “Onde?”. “Ah, a gente imprimiu, está na gaveta”. Não, isso não é política formal. “Ah, não, mas ela está publicada, o pessoal assina um termo de ciência de que sabe que existe a política, sabe onde ela está disponível”. Isso é formal. Então, tem que gerar evidência de que em algum momento tu escolheu, tu atribuiu. Vai ter que ter evidência da atuação.
(47:11) É como se determinar quem é o encarregado fosse uma coisa isolada. Não, eu indiquei o encarregado. Cara, tu vais ter a geração de um monte de evidências de que ele está atuando ou de que ele não está atuando. No momento em que tu tens um encarregado definido desde o ano passado, “beleza, me mostra um relatório de impacto que ele tenha feito, qualquer documento, uma ata, uma análise feita em cima de uma situação de tratamento de dados, qualquer coisa”. “Ah, não tenho, nunca aconteceu”. O que esse encarregado fez nesse um ou dois anos?
(48:04) Ficou com um papelzinho escrito “encarregado”? É interessante que quem nos escuta e está envolvido com tratamento de dados, parece que o encarregado tem que ficar respondendo e-mail e passando dado pessoal. Não é isso. O encarregado tem muito trabalho, por isso que é complicado acumular essa função.
(48:35) Exatamente. Senão, ele não vai conseguir fazer nada. Vai ficar lá: “Eu sou encarregado”, mas não faz nada. Acredito que a gente tenha essa situação em várias empresas, até porque não conseguiram implementar ainda, não conseguiram organizar os processos, está muito incipiente, e fizeram o mínimo, que foi indicar quem é o encarregado, geralmente acumulando com outra função. Mas se o encarregado for efetivamente trabalhar como encarregado, ele vai ter que gerar evidência de que está fazendo isso.
(49:12) É até para cumprir um princípio. As pessoas têm uma visão de como se legisla ou se produzem normas como essa, que é um regulamento, muito míope às vezes. “Ah, eu não posso usar conceitos indeterminados”. Não sabe direito o porquê. Veja, você tem um princípio na LGPD, o princípio de responsabilização e prestação de contas, inciso X do artigo 6º: “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. Logo, eu preciso demonstrar.
(50:22) Se esqueceram que temos o princípio da responsabilização e prestação de contas. Se eu não publicar o nome e nem tiver ato formal, estou cumprindo o princípio? Me parece que não. Além de trazer um malefício e uma dificuldade de verificação para os próprios titulares, ainda tem outro princípio, que é o da transparência: informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
(51:14) Indicação dos encarregados por operadores como facultativa. Vinícius, você cantou essa pedra antes.
(51:24) É que, na verdade, eu acho que onde o pessoal se perde é achar o seguinte: o operador, estou pensando num terceiro, numa empresa que presta serviço. Vamos supor que o Guilherme é a empresa controladora, e eu sou a empresa que vai prestar um serviço para o Guilherme. O Guilherme vai definir, como controlador, qual é o tratamento dos dados que vai ser feito, os parâmetros, vai negociar isso comigo, e eu vou ser o simples operador. Aí poderia se dizer: “Olha, eu não preciso do encarregado para lidar com o tratamento que o Guilherme está fazendo e que ele está determinando, que eu só estou executando”.
(52:11) Agora, por outro lado, a minha empresa não existe só para fazer a operação do Guilherme. Eu sou uma empresa. Por óbvio, que eu vou tratar dados dos meus funcionários, vou eventualmente tratar dados dos meus clientes. Eu posso não precisar de consentimento, porque vou ter, por exemplo, um contrato com o Guilherme e vou precisar dos dados pessoais dele, que vão estar no contrato. Tem a hipótese de tratamento por cumprimento de instrumento contratual. E aí eu vou ter dados pessoais sob a minha guarda. Talvez o maior volume seja de dados pessoais que eu estou atuando como operador, mas isso é problema do Guilherme. Mas eu, ainda assim, terei os dados pessoais dos titulares que, de alguma maneira, têm relação comigo, desde funcionários até clientes, para os quais eu estou determinando o tratamento e, portanto, sou controlador.
(53:29) E aí, obviamente, eu tenho que ter o encarregado. O operador será um controlador. Não é porque o operador é operador de alguém que ele nunca vai poder ser um controlador em outras atividades. Ele vai acabar tendo um encarregado em um momento ou outro.
(53:57) Agora, tem uma outra coisa aí que eu acho que a discussão acaba sendo um pouco mais complexa também. Você tem certos serviços em que, porque a lei diz que o sujeito será controlador quando ele toma as decisões referentes ao tratamento de dados, ele pode tanto estar numa situação que ele vai tratar os dados, ou ele vai contratar um operador. Só que os operadores também têm limites. E eu tenho serviços muito distintos que vão envolver o tratamento de dados pessoais dos meus titulares, como controlador.
(54:40) Veja, eu posso estar diante tanto de um serviço de plataforma como serviço (PaaS), como uma AWS, em que eu, controlador, vou tomar muitas decisões. Eu diria que talvez eu consiga tomar todas as decisões sobre como… não todas, é demais.
(55:00) Infrastructure as a Service (IaaS). Tu consegues, dentro do que eles te oferecem, escolher o que tu vais fazer com os dados.
(55:10) Eu falei PaaS, mas seria IaaS, um caso de nuvem. Ainda assim, tu tens um certo grau de liberdade. Acho que o caso em que o operador se tornaria praticamente um controlador, porque ele estaria determinando também o tratamento, seria o que o Google faz de maneira bem agressiva.
(55:35) Ah, sim, aí é controlador conjunto. Mas o ponto é esse. Você vai ter certos serviços que a margem de decisão sobre tratar ou não aqueles dados pessoais naquele operador, como o operador oferece um serviço padronizado, pré-formatado, a forma com que o controlador vai tomar a decisão referente àquele tratamento se dará por adesão. Ou seja, o controlador diz: “Bom, eu quero tratar os dados dos meus titulares nesse serviço, nesse software as a service (SaaS), porque tem muitos por aí”. E aí você teria essa decisão dada por adesão do controlador para tratar os dados. Mas veja, é uma adesão com base em formas de tratamento pré-formatadas, nos limites do próprio serviço oferecido.
(56:34) Porque, vamos imaginar que eu, o controlador, chego para o operador e digo: “Tá, eu quero que você trate o dado pessoal dessa forma, não da forma como você trata, mas de outra”. E o operador vai dizer: “Olha, diante das limitações do meu serviço, eu não consigo te atender nesse sentido. Por exemplo, não consigo fazer um backup por meio de uma API em qualquer plataforma que você queira. Eu só vou conseguir usar o backup que eu já tenho contratado”. Veja, essa é uma decisão de tratamento.
(57:05) E notem, enganam-se aqueles… quando a gente começa a estudar os documentos lá da União Europeia, do Article 29 Working Party, do EDPB, não significa que o operador nunca tomará decisões sobre tratamento de dados. As decisões mais importantes, as decisões cruciais sobre tratar ou não aquele dado, de fato, são tomadas pelo controlador. Mas, ainda assim, decisões residuais ainda vão ser tomadas pelo operador. Por exemplo, “vou decidir se o meu banco de dados vai ser Oracle ou SQL”. Essa é uma decisão que o operador toma e é uma decisão relevante para a segurança. “Vou decidir, por exemplo, o tempo de backup que eu vou fazer”. É uma decisão dele. Inclusive, o operador pode errar aí.
(58:00) Ele pode fazer backup numa frequência menor do que a necessária. Ou eu poderia botar outra situação: eu posso, de repente, por uma questão de custo, eu, operador, deixar de usar o data center de São Paulo de um provedor de nuvem qualquer e migrar para o data center de Ohio, nos Estados Unidos, ou no Japão. Eu posso continuar prestando o serviço, mas posso mover o meu recurso de região.
(58:34) Aí eu acho que, de novo, é o detalhamento que o controlador tem que ir. Porque no momento que ele contrata o operador, ele estabelece os parâmetros do serviço. Para não deixar isso a cargo do operador… para mim, são decisões importantes: backup, onde vai ficar hospedado, etc. Porque daqui a pouco, eu não considero a transferência internacional de dados.
(58:59) Mas aí você está considerando que o operador tomaria essa decisão sem comunicar o controlador.
(59:04) Não foi o que eu disse. O controlador tem que saber que ele está fazendo isso.
(59:08) Mas pode acontecer. Pro operador, mover as coisas de um lugar para outro, de um repositório para outro, às vezes são alguns cliques. Para ele, pode ser muito natural, porque ele continua dentro do mesmo provedor.
(59:27) Mas você pode ter reflexos em uma série de normativas, inclusive da ANPD, ao mover dados para uma região não confiável.
(59:36) Sim, mas o ponto nem é esse. A pergunta que se discutiu é: o operador deve indicar encarregado? Eu acho que, diante de todas essas questões, adicionando o fato de que o operador ainda deve seguir, para não ser responsabilizado em caso de incidentes ou tratamento ilícito, as regras impostas pelo controlador… e vamos abstrair essa questão de contrato de adesão e regras pré-estabelecidas… O controlador foi lá e deu todas as regras para ele seguir, e ele ainda deve seguir as regras da própria lei, porque o controlador não vai dizer tudo para ele.
(1:00:20) O controlador vai dar para o operador todas as regras de tratamento, e o operador ainda vai ter que cumprir a lei. Então, nesse sentido, qual seria a pessoa mais indicada, estabelecida na LGPD, para realizar todas essas atividades? Letra A: Compliance Officer. Letra B: CEO. Letra D: Encarregado de Proteção de Dados.
(1:00:50) A gente está brincando, mas isso é bem sério. Aquela coisa do tratamento e meios de tratamento humanizados, achei aquela discussão até interessante. Alguém falou lá: “Será que humanizado quer dizer que o encarregado deve tratar bem o titular, com educação?”. “Como você está se sentindo hoje?”. Tem que tratar bem, claro, não pode ser grosseiro.
(1:01:38) Mas você nota que a interpretação jurídica é uma tarefa difícil, mesmo diante dos advogados. Por exemplo, quando você vai interpretar um texto legal, sobretudo o Código Civil, você tem os títulos. Para que servem os títulos? “Ah, só para organizar”. Não, não é só para organizar. O título, o capítulo, a seção de um determinado artigo, ou seja, o artigo está dentro de um capítulo tal, dentro de uma seção tal, isso também orienta a interpretação. Você olha para a lei como um todo, mas também para a própria posição que aquele artigo está, justamente para que ele não fique repetindo. Se eu tenho diversas regras acerca do encarregado e tenho um capítulo “Das Obrigações do Encarregado”, não preciso ficar repetindo em todo artigo. Ele já está dentro de um contexto.
(1:02:49) Contexto importa para a interpretação jurídica. É óbvio que não se trata de educação. Me parece que aqui está mais ligado com a questão de uso de sistemas automatizados.
(1:03:00) Mas eu acho que isso tem muito a ver com esse trauma coletivo de quem usa essas pretensas IAs e esses canais de atendimento com robôs, que dão uma raiva às vezes. Você precisa resolver um negócio no banco, um cartão, e faz uma pergunta. “Ah, se você está tendo problema com seu cartão, vá não sei onde”. Você tem um problema tão específico que o robô é burro e não consegue lidar com aquilo. E aí ele entra num looping do qual você não consegue sair e não consegue ser atendido por uma coisa besta. Acho que isso é uma coisa que já aconteceu com todo mundo que já usou algum tipo de serviço de autoatendimento com robô.
(1:04:00) O Facebook é fantástico quando o pessoal entra lá pedindo ajuda porque perdeu a conta, para recuperar a conta. Prepara-se, você vai entrar num loop infinito. É uma coisa ridícula. E essa questão do atendimento humanizado, inclusive, que alguns bancos já colocam como um diferencial para contas especiais.
(1:04:30) Dependendo da conta que tu tens. Não sei se é o Ultravioleta, mas tem outros bancos que anunciam a mesma coisa. É o seguinte: se tu queres ser atendido por um ser humano e não quiser lidar com os nossos robôs, vais ter que gastar um pouco mais com a gente, vais ter que ser rico para ter um cartão Diamond, Black, não sei o quê. E o lance da ANPD aí talvez seja isso, porque está lá na LGPD que tem que ser fácil de exercer teus direitos.
(1:05:13) Tem que ser relativamente fácil, não pode ter impedimentos. Inclusive, tem aquela coisa do timing da resposta: tem que informar imediatamente se tem informação sendo tratada a respeito do titular que está entrando em contato, e tu tens 15 dias para entregar os dados que tu tens a respeito desse titular. Eu fico imaginando que esse negócio do autoatendimento e da questão humanizada é meio que para garantir que a gente vai ser atendido. Porque eu não vejo problema, de verdade, se eu entrar num site de uma empresa para exercer meus direitos de titular e o negócio for tudo automatizado e for fácil, não for uma coisa cheia de entraves. Se for fácil, eu consigo fazer rapidinho, me autentico, provo minha identidade com biometria, qualquer coisa, e recebo meus dados. Show, para mim é melhor do que ficar trocando e-mail.
(1:06:05) Eu fiz um teste com uma empresa esses dias, pedi meus dados e tive que ficar trocando e-mail com o encarregado. Eu peço meus dados, aí vem o e-mail: “Não, eu preciso de um documento de identidade”. Aí o processo falha. Eu peguei um PDF da minha CNH e mandei. Daqui a pouco, vem uma planilha Excel com meus dados anexados. Então, se eu tiver o teu documento nessa empresa, um PDF do teu RG, eu peço teus dados.
(1:06:40) Esses dias eu fui num hotel em Passo Fundo e precisavam dos meus dados para fazer o check-in. Eu falei: “Eu vou te falando e tu vais digitando”. “Ah, não, tu tens que nos mandar uma foto no nosso WhatsApp”. Eu disse: “Não, não vou mandar”. Queriam uma foto minha no WhatsApp do hotel para anexarem lá no sistema, uma foto do meu documento. Eu disse: “Não vou te dar. Queres os dados, anota aí”. Mas tu percebes que é o suficiente, nesse caso específico que eu testei, para eu pegar os dados do titular. Basta ter uma foto do documento dele, mais nada.
(1:07:34) Eu acho que isso é um outro problema.
(1:07:40) Eu estou falando da segurança do processo. A questão aqui é outra.
(1:07:43) Estou tocando nisso também, mas estou dizendo que é um processo falho, feito por um ser humano trocando e-mails. Eu prefiro uma forma automatizada que seja mais dinâmica e, talvez, mais segura. O exemplo do “eu preciso da cópia dos meus dados”. Alguém falou isso também lá, infelizmente a gente não notou porque foram, sei lá, 7 horas de audiência pública, deu 5 horas de gravação total.
(1:08:17) E às vezes uns áudios que você não conseguia entender nada, umas confusões. Mas teve uma pessoa que falou justamente isso, acho até que ela usou o exemplo do Facebook, que você entra, pede a cópia dos seus dados… não só o Facebook, mas várias plataformas de redes sociais. Você vai ser atendido de uma forma automatizada. Eu acho que a questão não é “humanizado”, e talvez o termo… claro, diante de uma interpretação finalística e dentro do contexto, dá para entender que não é sobre boa educação.
(1:08:52) Mas eu acredito que, em algum momento, a pessoa deva, se ela quiser, ter um atendimento e conseguir falar com alguém. A questão seria: você pode fazer o atendimento automatizado, e aí não confundir com tratamento automatizado, é atendimento automatizado, desde que este atendimento não seja prejudicial para o titular. Se a automatização ajudá-lo, beleza. “Ah, mas como é que eu vou saber?”. Isso é um problema de qualquer lei. As leis possuem conceitos indeterminados. O Código de Defesa do Consumidor diz: “Considera-se prática abusiva, entre outros…”. “Como é que eu vou saber o que é ‘entre outros’?”. Aí é interpretação jurídica, para isso que a gente passa 5 anos numa faculdade, 3 anos no mestrado e 4 anos no doutorado. Uma das atividades do advogado é a interpretação jurídica.
(1:10:11) Não dá para dizer tudo, criar regrinhas. Inclusive, já se tentou fazer isso, a própria ideia de codificação. Os grandes códigos do direito francês tinham aquela ideia de totalidade: “Vou colocar todas as regras para regular todas as relações privadas dentro do Código Civil”. E com o tempo foi se vendo que não dava, porque tinha um monte de exceções. O que eu faço? Começo a criar cláusulas abertas, crio o princípio da boa-fé objetiva. Algumas pessoas dessa audiência, talvez, quando confrontadas com a boa-fé objetiva, poderiam dizer: “Mas a lei не diz o que é, como é que eu vou saber?”. Bom, você tem jurisprudência, você tem doutrina. É mais texto para ler, tem que estudar.
(11:18) Tem que estudar qualquer área. Não dá para o Vinícius sair dando pitaco na área de direito, eu preciso do Guilherme.
(11:21) Então dá o teu pitaco aí, um facilzinho, que é a questão da língua portuguesa, artigo 11.
(11:26) Deixa eu ler o artigo 11 e aí você fala, e a gente já vai terminando. “O encarregado deverá ser capaz de comunicar-se de forma clara e precisa e em língua portuguesa com os titulares de dados e com a ANPD”.
(11:59) Cara, eu fiquei muito surpreso, muito feliz que eles botaram isso ali, porque eu fiquei imaginando tentar exercer meus direitos e uma pessoa me atender em russo ou alemão. Eu fiquei muito tranquilizado, achei tranquilizador o fato de que, quando eu for atendido pelo encarregado no exercício dos meus direitos da LGPD, eu seria atendido em português, brasileiro de preferência.
(12:47) Eu achei completamente desnecessário isso, sabe? Porque já pensou se a gente vai botar em todo lugar que fala de qualquer tipo de relação com ente público no Brasil que a criatura vai ter que se comunicar em língua portuguesa? Se eu vou numa prefeitura e vou ser atendido por um funcionário público, precisa alguém dizer em algum lugar que o cara tem que se comunicar fluentemente em língua portuguesa para poder exercer o cargo? Fiquei surpreso com a insistência em se discutir esse ponto.
(13:40) Eu posso estar errado, não sou dono da verdade. Mas tem uma outra coisa: vamos conceder para essas pessoas, e isso é importante, o cara tinha 5 minutos para dar sua mensagem. 5 minutos é pouco tempo. Às vezes é difícil explicar uma posição complexa em 5 minutos.
(14:15) Só que boa parte da galera estava com texto pronto. E aí tu não precisas fazer o texto em 5 minutos, podes parar, analisar, preparar, pensar bem, sopesar. Então, aqueles 5 minutos são a expressão daquilo que tu preparou. Acho que não serve muito bem como desculpa, não. Se o cara pegou 5 minutos e falou de primeira, sem se preparar, aí não se inscreve para audiência pública.
(14:48) Mas eu acho que você tem questões complexas que não consegue explicar em 5 minutos. Teve textos escritos que foram lidos, a boa parte foi lida, deu para perceber.
(15:07) Qual é o ponto? Eu acho que é “capaz de se comunicar”, e não “de comunicar-se”, mas tudo bem, já que estamos falando de língua portuguesa. Eu creio que seja um não-problema. A lei tenta resolver problemas que existem, via de regra. O problema precisa existir para que a lei possa regulá-lo. Talvez a autoridade tenha identificado isso. Mas, às vezes, a lei possui também uma função promocional. Às vezes, repetir ajuda.
(15:54) Ela vai dizer: “Olha, tudo bem, é evidente, eu sei que tem que falar em português”. Até porque, se a gente for considerar que muitas das relações de tratamento de dados se dão no âmbito de relações de consumo, e o CDC exige essa questão do vernáculo, isso já estaria previsto lá. Mas, como você disse, não se admite o sujeito falar em russo contigo. Alguns disseram: “Ah, mas se o sujeito é o encarregado do exterior e não fala português, então o decreto estaria impedindo-o de ser encarregado?”. Primeiro, o decreto não está impedindo o sujeito de ser encarregado se ele for um estrangeiro em outro país. E notem, é uma situação meio estranha, talvez aconteça com as big techs. Agora, 90% das empresas… estou tentando resolver um problema de três ou quatro empresas ou um problema geral?
(17:16) E mesmo assim, se tu contratas uma empresa indiana para fazer o teste, e o cara te atende e tu não consegues conversar com a criatura, vamos supor, colocam um cara que não fala português e ele fica insistindo em te atender em inglês. Pegando uma situação estapafúrdia. Cara, tem os princípios. Aí tu voltas na LGPD.
(17:46) O cara está descumprindo a LGPD, claro. O titular não consegue com facilidade ser atendido. Tu estarias violando claramente o que a LGPD está demandando. Eu acho que é uma coisa que, quem sabe, pela questão da repetição, de reforçar certas coisas, pode até ser. Talvez tenha que ser dito mesmo. Tem certas coisas que a gente acha óbvias, mas talvez tenha que dizer. Tu tens que dizer para a criatura que ela não pode estacionar o carro na frente de uma garagem. Talvez tenhas que botar lá um negócio dizendo “sujeito a guincho”, porque ainda assim vai ter o cara que vai estacionar. Então, quem sabe. Eu acho desnecessário, mas quem sabe.
(18:38) Tu resolves com os princípios: livre acesso, transparência. Mas me parece ainda que é um não-problema, porque “ah, mas eu não posso impedir que o sujeito não fale português”. Definitivamente não é o que o regulamento trata. E veja, há uma presunção de que o sujeito precisa falar a língua. Se eu for trabalhar na Alemanha de encarregado numa empresa alemã, e eu chego lá e digo “pessoal, eu esqueci de dizer, eu não falo alemão”, eles vão dizer: “Então, tá bom, obrigado, Guilherme”. É uma presunção.
(19:44) Bom, Vinícius, terminamos com essa discussão da língua portuguesa. Teve outras coisas que mereceram atenção das pessoas que foram lá. Foi interessante para a gente ter uma ideia da média dos problemas suscitados pelos profissionais de proteção de dados, o que os encarregados pensam.
(20:25) Claro que ali não eram somente encarregados. Só que tem alguns detalhes, como tu bem citaste no início, tu tinhas um grupo de pessoas que fez um certo movimento em conjunto, e aí, obviamente, a visão acaba sendo uniformizada, tu não tens uma real discussão. Tu tens ali uma certa forma de colocar as coisas que tende a se repetir e que meio que mina a diversidade de opiniões.
(21:02) Sim, mina essa questão da necessidade da diversidade de opiniões.
(21:08) É verdade. Meio que avacalha a ideia de discussão pública e diversidade no momento em que tens um grupo que já vem com a ideia formadinha e, inclusive, com roteiro de atuação.
(21:26) Bem lembrado. É uma coisa estranha. Mina a ideia de uma audiência pública. E talvez a ANPD, que também está aprendendo, precise ficar atenta para certos interesses ali que podem estar sendo manifestados. Claro que, numa audiência pública, é legítimo que todo mundo que quiser participar participe, mas ela talvez tenha que dosar e ficar atenta para certos interesses que às vezes estão por baixo do que está se colocando. Mas veja, isso acontece em toda audiência, é normal.
(22:05) Bom, pessoal, chegamos a 1h20min. Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui. Nos encontraremos no próximo episódio do podcast Segurança Legal.
(22:19) Até a próxima.
(22:20) Até a próxima. Hoje vamos ter que encerrar meio de pronto, Guilherme, que eu tenho que sair correndo. Tenho um compromisso na sequência, então a gente não vai ficar batendo aquele papinho extra que a gente fica batendo normalmente com a nossa audiência do YouTube.
(22:49) Grande abraço, pessoal.
View all episodes
By Guilherme Goulart e Vinícius Serafim
4
77 ratings
Neste episódio comentamos a minuta de regulamentação do Encarregado de Proteção de Dados (DPO) da ANPD. Você irá descobrir os detalhes sobre conflito de interesses, indicação formal e o futuro da função.
Guilherme Goulart e Vinícius Serafim analisam a audiência pública da ANPD sobre a regulamentação do Encarregado de Proteção de Dados. O debate aprofunda o conceito de conflito de interesses, um ponto crucial para a autonomia do profissional de privacidade e segurança da informação. A discussão aborda a necessidade de um ato formal para a nomeação, o papel do DPO em empresas que atuam como controlador ou operador, e as implicações do poder normativo da autoridade. Explore os desafios do tratamento de dados pessoais e a importância do compliance para cumprir a LGPD. Assine, siga e avalie nosso podcast para não perder nenhuma análise.
Ajude o Segurança Legal a continuar existindo. Visite nossa campanha de financiamento coletivo e nos apoie!
ShowNotes:
Henrique Ribeiro Cardoso
Foto do Episódio gerada pelo Dall-E via ChatGPT
Transcrição do Episódio
(00:02) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim.
(00:15) Olá, Guilherme. Olá, nossos ouvintes e aos internautas que nos acompanham no YouTube. Sempre lembrando que, para nós, é fundamental a participação de todos por meio de perguntas, críticas и sugestões de tema. Para isso, estamos à disposição no @segurancalegal, no Twitter, pelo e-mail [email protected], e no YouTube.com/segurancalegal, onde você pode ver em vídeo os nossos rostinhos lindos.
(00:35) E também no Mastodon, no @[email protected]. Temos a nossa campanha de financiamento coletivo no PicPay, picpay.me/segurancalegal, e também no Apoia.se, apoia.se/segurancalegal. Considere, como a gente sempre diz aqui, apoiar um projeto independente de produção de conteúdo e, se possível, apoie o Segurança Legal.
(01:07) Certo, Vinícius?
(01:08) E se não for o Segurança Legal, qualquer outro podcast independente que você acompanhe. É importante.
(01:17) Pessoal, vocês podem achar que não, mas tem bastante trabalho envolvido por trás até chegar neste momento, sobretudo hoje, em um episódio que exigiu um pouco mais de investigação. Todos têm, mas às vezes uns mais do que os outros. Já entrando no tema, Vinícius, que você já viu no título, foi essa última audiência pública realizada pela ANPD para a discussão dessa minuta que seria o regulamento sobre a atuação do encarregado de proteção de dados pessoais. Porque a LGPD estabelece a presença e a necessidade de um encarregado, coloca algumas regras, só que, como ocorre com as leis, e eu vou falar um pouquinho depois sobre como se dá essa questão da regulamentação de leis, a ANPD, enquanto autarquia, tem esse poder normativo de regular ou de estabelecer melhor como certas normas, regras ou até mesmo princípios se aplicam. Ela complementa a regra que está colocada lá. Inclusive, essa foi uma das discussões.
(02:38) Eu e o Vinícius vimos toda a audiência, que durou a manhã e boa parte da tarde. Então, nós dedicamos o nosso tempo para ouvir e fizemos algumas anotações. Uma coisa que chamou a atenção foi a intensa participação de membros, foram muitos, e cada um tinha 5 minutos para realizar suas considerações. O link da audiência no YouTube vai ficar no show notes, mas chamou a atenção o fato de vários desses participantes fazerem parte de um grupo de estudos. Chegavam lá, inclusive, todos orquestrados, e no final falavam:
(03:17) “Meu nome é fulano de tal, faço parte do grupo de estudos tal, de Estudos Avançados…”. Como a gente não conhecia esse grupo, fomos ver. Tinham um script. Chamou a atenção o fato de que um dos responsáveis por esse grupo de estudos é justamente o diretor daquela entidade ANPPD, que agora é a APDADOS, que inclusive foi processada pela ANPD. A gente comentou isso aqui em um dos nossos episódios, mas fica só o registro que me chamou a atenção essa participação tão intensa de pessoas que, pelo menos indiretamente, estavam envolvidas com o pessoal da ANPPD, hoje APDADOS.
(04:05) E, Guilherme, me chamou a atenção, e eu comentei contigo, a falta de alguns expoentes que nós temos na área de proteção de dados pessoais aqui no Brasil discutindo esse tema. Tem o Rafael Zanata, que é uma pessoa bastante qualificada nesse sentido, temos o Bruno Bioni, que também é um cara com bastante estofo, uma palavra que tu gostas, para essas temáticas. Eu senti falta desses rostos conhecidos que temos na área de proteção de dados e que são pessoas com reconhecimento bastante sólido de atuação. E aí tu disseste: “Ah, mas talvez eles atuem em um segundo momento”. Eu espero que sim, porque senti um pouco de falta disso. Me pareceu muito aleatória a coisa, do ponto de vista de algumas contribuições.
(05:21) Eu acho que precisa de uma discussão mais precisa, uma discussão bem feita sobre esse tema. Eu até estava procurando aqui enquanto você falava, mas não vou achar agora o que eu procurava. A ANPD possui, entre as suas atribuições, e a lei precisa estabelecer isso, já entrando nesse poder regulamentar da ANPD, a competência para ter esse poder normativo.
(06:12) Esse é um primeiro ponto. Inclusive, dentro dessa competência, ela também é obrigada a fazer consulta e audiência pública. Achei aqui, Vinícius, o artigo que eu queria. O artigo 55-J da LGPD, no seu parágrafo segundo, diz: “Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiências públicas, bem como de análise de impacto regulatório”. A gente sabe que muitas pessoas que participaram lá falaram: “Gostaria de parabenizar a ANPD por realizar essa consulta pública”.
(06:54) Eu diria que é quase como um ponto de educação. Só que não sei se é uma questão de se parabenizar, porque ela é obrigada por lei a fazer isso, não é uma iniciativa própria. Ela não fez porque quis, fez porque é obrigada a realizar audiências públicas. Claro que a gente poderia discutir, talvez em outro momento, como o Vinícius já tocou um pouco no assunto, o formato dessas audiências públicas. Isso sim pode ser discutido, mas enfim, essa é uma outra coisa que, pela quantidade de coisas que a gente quer falar, não vai dar tempo.
(07:29) Então, primeiro, ela tem esse poder normativo, esse poder regulamentar. E esse poder regulamentar de algumas autarquias não é somente da ANPD. Você tem, sei lá, o Banco Central, que é uma autarquia e tem uma produção normativa diária, basicamente. A Anatel, a Antaq, as agências… isso é, inclusive, uma das matérias de estudo dentro do Direito Administrativo: o poder normativo dessas autarquias. Só que esse poder normativo se dá na medida de complementar a lei quando você estiver diante de conceitos indeterminados ou quando a própria lei disser que tal tema vai ser tratado de tal forma.
(08:20) E essa atividade regulamentar se dá por meio de um ato administrativo. E às vezes, e essa foi uma crítica que algumas pessoas fizeram, não só hoje, mas já há muitos anos, décadas talvez, o direito não consegue regular atividades somente por meio de regras. Regras são aquela coisa bem restrita, que você consegue aplicar diretamente. Por exemplo, uma regra é: a velocidade máxima nessa via é 60 km/h. Não tem discussão. Agora, um princípio ou o uso de conceitos indeterminados ou abertos envolve um grau de abstração que às vezes é necessário para as leis e regulamentos. Ou seja, ele vai estabelecer certas coisas que o intérprete e o aplicador vão ter que ter um certo grau de discricionariedade na hora de selecionar. Não é possível regular, ainda mais uma atividade tão complexa como o tratamento de dados, somente com regras.
(09:30) Alguém pode dizer: “Ah, mas é um conceito indeterminado”. Sim, as leis e os regulamentos são cheios de conceitos indeterminados, faz parte da interpretação. Não é possível estabelecer, ainda mais diante de assuntos tão complexos, somente regras sem usar pontos que deem uma certa abertura, porque senão você congela completamente a norma em questão e sua aplicação fica mais restrita.
(09:56) E aí, Guilherme, é aquele entendimento de quem está de fora da área do direito, que eu vejo frequentemente: pessoas revoltadas com certas decisões em casos particulares, em demandas judiciais pessoais, que ficam: “Como é que o cara aceitou tal coisa?”. Não entendem o processo. Muitas vezes, claro, a gente não gosta quando tem uma decisão desfavorável ao nosso pleito em um processo judicial. É compreensível. Mas a ponto do pessoal falar como se fosse algo inventado…
(10:44) É porque não entendem. É como uma criatura que não é da Ciência da Computação querer explicar coisas complexas da área sem entender nada. Ela vai dizer um monte de bobagem. Talvez acerte um conceito ou outro, mas em geral será imprecisa e dirá coisas erradas. Como nós dois aqui. Nesse tema, eu vou dar meu pitaco, mas com muito cuidado, porque eu tenho um doutor em Direito do meu lado para dizer “você está errado”. Ele já limpou um pouco a minha pauta: “Guilherme, isso aqui é bobagem, pode tirar”.
(11:15) Eu nunca diria isso. Você tem temas que são muito passíveis de uma discussão entre nós, que permitem uma interação com outras áreas. É normal, porque é uma tarefa interdisciplinar. Mas você tem pontos que foram abordados lá que são eminentemente jurídicos.
(11:58) Por exemplo, essa questão do poder regulamentar. Algumas pessoas disseram: “É nulo, porque a ANPD não pode mudar a lei”. De fato, não pode, têm razão nesse sentido. Só que se você levar isso ao pé da letra, todo e qualquer regulamento será nulo, porque ele está prevendo coisas que não estão na lei. O objetivo não é repetir a lei, é complementar a lei. Nesse sentido, você sempre terá uma certa inovação, não criando obrigações que a lei не prevê, mas ainda assim você precisa preencher o que chamamos de discricionariedade técnica. Ou seja, você está diante de um caso aberto e o regulamento preenche aquilo, esclarece o cumprimento, diz como vai ser cumprido. E quem está dizendo isso não sou nem eu. Peguei aqui alguns autores, como Celso Antônio Bandeira de Mello, autor de um dos manuais de direito administrativo mais lidos no Brasil. Ele diz: “A margem de liberdade conferida pela lei ao administrador a fim de que este cumpra o dever de integrar com sua vontade ou juízo a norma jurídica, diante de um caso concreto, segundo critérios subjetivos próprios, a fim de dar satisfação aos objetivos consagrados no sistema legal”.
(13:12) Ou seja, a lei tem um propósito estabelecido pelo legislador. Porque a grande discussão é essa: por que o regulamento não pode preencher, mudar a lei ou criar novas obrigações? Porque seu processo de criação é diferente do processo legislativo. No processo legislativo, você teve deputados, senadores, todo o processo, as discussões, e a lei foi decidida. O regulamento só faz cumprir.
(13:50) E o agente administrativo, aqui no caso a autarquia, tem o poder de escolher os meios. Outro autor, Henrique Ribeiro Cardoso, fala justamente isso: a escolha dos meios. Tem o poder para escolher os meios eficientes para a implementação de diretrizes, objetivos e princípios expressos na legislação. Agora, claro, você deve fazer isso, continua ele dizendo, pautado pela regra da proporcionalidade. Eu especifico, digo como certos direitos e obrigações vão ser cumpridos para aquele setor regulado, sem ampliar.
(14:26) Só fazendo essas observações iniciais para deixar claro que não é bem assim como disseram, de que “vai ser nulo porque, por exemplo, o grande tema, que é o conflito de interesses, que a gente já pode ir entrando aqui…”. Alguém falou lá: “Ah, mas como a lei não fala sobre conflito de interesses, o regulamento não pode abordar a questão de conflito de interesses do encarregado”. Bom, se fosse assim, nós estaríamos diante da situação absurda de que, na falta do termo “conflito de interesses” na LGPD, o encarregado poderia agir com conflito de interesses, o que implicaria, em última medida, destruir completamente a utilidade do encarregado.
(15:04) É óbvio que ele precisa ter autonomia e uma certa independência. A forma como isso vai ser feito, claro, podemos discutir, mas me parece que a leitura teleológica de toda a lei, ou seja, os fins que a lei coloca, evidencia que a existência do encarregado contém essa regra implícita de que ele não pode ter conflito de interesse.
(15:42) Até porque, Guilherme, entre as diversas atribuições do encarregado, está justamente identificar situações de tratamento inadequadas dentro da organização, dentro do controlador. E se tu presumir que, porque não está na lei, pode haver conflito de interesse, ele ignora o que a LGPD demanda com relação ao tratamento, seus princípios e tudo mais, e faz aquilo que a empresa deseja, independente do que a LGPD coloca.
(16:24) A LGPD não é a primeira lei que estabelece algum tipo de papel dentro de uma organização que vai lidar com situações em que ele terá que contrapor certos objetivos da empresa porque a lei não permite. Quando tu tens equipe de compliance dentro da empresa, pessoal vinculado a acompanhar demandas do Banco Central, há sempre esse jogo. Até porque, muitas vezes, regulações impõem maiores custos e certas limitações nas atividades.
(17:09) No caso da LGPD, maiores custos para lidar com os dados com nível de proteção adequado, backup, e todas aquelas coisas que já sabemos, e ao mesmo tempo te impõe certas limitações. Não pode pegar os dados que tens e sair utilizando para qualquer outra finalidade que não aquela para a qual originalmente os obteve. Então, é óbvio que vai ter essas discussões entre o que deseja a empresa e o que permite a lei. No final das contas, quem atua no mercado nessa área sabe muito bem que é tudo uma questão de avaliação de risco.
(17:51) Há certas situações em que as empresas vão descumprir certas regulações porque calculam que o risco é pequeno diante do ganho que vão ter. Não que isso seja certo, não estamos incentivando isso, de jeito nenhum. Só estou dizendo que isso é a realidade do mercado. Se a percepção da empresa é que ela não vai ter maiores problemas, não vai ter maiores punições se fizer uma determinada prática, ainda que a lei não permita ou que haja ali uma zona cinzenta, ela pode eventualmente optar por assumir o risco. E a gente vê isso acontecendo.
(18:38) Então, essa questão de ter que dizer que não pode ter conflito de interesse, tudo bem, não faz mal. Só que a pessoa começa a entrar em: “Ah, tem que definir o que é conflito de interesse”. Poxa, tantas situações em que tu vais definir conflito de interesse. Vou pegar os exemplos mais bestas e óbvios.
(19:07) O encarregado é funcionário. E aí tens a situação em que ele está contrapondo certos planos de expansão da empresa porque certas estratégias que a empresa vai tomar podem ser inadequadas. Daqui a pouco, ele começa a ser tirado das reuniões. O que ele vai fazer? Vai denunciar a empresa para a ANPD que ele não está tendo independência suficiente para realizar o trabalho dele? Ele não está podendo se envolver nas reuniões, não tem poder decisório, a direção não quer ouvi-lo. Ele vai denunciar para a ANPD?
(19:39) Ele vai fazer isso. E se ele for terceiro, não funcionário interno, e tiver independência? Depende do quanto ele depende daquele contrato. E por aí vai.
(19:51) Você falou várias coisas aí. Primeiro, a gente tem que diferenciar o setor público do setor privado quando estabelecemos regulamentações, pelo menos no Brasil, onde temos um direito administrativo autônomo. Você disse: “Ah, tem várias outras regras que já estabeleceram conflitos de interesses”. Apesar de não ser advogado, você tem razão.
(20:18) “Ah, nós temos que definir o que é conflito de interesses”. Não. Você tem caminhões de regras e normas que estabelecem isso. Por exemplo, duas pesquisas rápidas: você falou em Bacen, tem uma resolução do Bacen, a 4.968, aplicada somente às instituições financeiras, que estabelece, dentro da questão dos controles internos, a segregação de atividades para evitar conflitos de interesses e a identificação e monitoramento independente das áreas que possuem potencial conflito de interesse, com revisão periódica. Isso está dentro de uma atividade muito maior de compliance, ou seja, busca-se identificar possíveis situações de conflitos de interesses que existem aos montes nas instituições e em setores regulados. Aqui demos o exemplo do Banco Central. Você precisa evitar isso porque tem uma norma.
(21:18) Veja que interessante: outra resolução, feita por outra autarquia, no caso o Banco Central, que também regula a questão de conflitos de interesses. Então, falar sobre conflito de interesses não é uma coisa nova, é uma coisa muito antiga. No setor público, nós também temos uma lei que aborda e visa regular a questão da gestão dos conflitos de interesses dos agentes públicos, a Lei 12.813 de 2013. Mas, mesmo se não tivéssemos essa lei, você tem os princípios da administração pública — finalidade, eficiência e, principalmente, impessoalidade — que, quando aplicados no caso concreto, nos levam a chegar à conclusão de que o agente público precisa agir sem conflito de interesses.
(22:15) Um dos grandes problemas que envolvem conflito de interesses é você presentear gestores públicos para que eles atuem não buscando o interesse público, mas favorecendo seus próprios interesses. Acontece toda hora, inclusive no judiciário e no executivo. Você tem até crimes, pode chegar a uma situação de corrupção. Então, mais uma vez, não é algo novo, é algo que já está no nosso ordenamento jurídico.
(22:50) Às vezes, os presentes são muito bons.
(22:53) Mas veja, o exemplo do presente é uma situação de conflito de interesse, claro. Quando a gente vai para o ramo da economia, por exemplo, e pega a “Encyclopedia of Law and Economics”, tem lá um verbete que é “Conflito de Interesses”, escrito por Remus Valsan. Ele diz, e eu vou ler algumas coisas aqui: “Fundamental para a noção de conflito de interesses é a ideia de que a capacidade de alguém de exercer um julgamento adequado corre o risco de ser afetada por interesse pessoal ou por um dever concorrente”. Então, nós temos duas questões aqui: os meus próprios interesses pessoais, e aí aquilo que tu falou antes, o teu emprego.
(23:49) Toda pessoa que for empregada ou que tiver um contrato de prestação de serviços terá o interesse pessoal de preservar seu emprego ou seu contrato. Se a empresa não der as condições de independência para ela, ela terá um conflito de interesses por interesse pessoal. Ou ela pode ter um dever concorrente, que vai acontecer quando uma pessoa com uma certa posição dentro de uma empresa, ao tomar decisões, outra tarefa dela pode comprometer esse julgamento. O caso clássico, que inclusive vamos falar, é o sujeito ser Compliance Officer e DPO. Lá fora, na União Europeia, é caso de livro-texto, você não discute. Você não pode, porque senão o cara vai se autoauditar.
(24:40) Se o DPO ou encarregado desrespeita uma determinada norma interna, e o Compliance Officer, que seria a pessoa que iria puni-lo, é ele mesmo, não faz nenhum sentido. Ele continua: “Esses fatores extrínsecos interferem no julgamento não como fins que o tomador da decisão tem em vista, mas como fatores que tendem a influenciar os fins. A presença desses fatores coloca em risco a capacidade do tomador de avaliar o peso a ser dado às considerações nas quais a decisão se baseia”. Agora, notem que o conflito de interesse, apesar de a LGPD e nenhum regulamento dizerem isso, precisa ser um conflito sério, atual, presente, objetivo e verificável. Porque, em última análise, todos nós temos nossos conflitos e interesses pessoais cotidianamente.
(25:40) E veja, essa é até uma questão psicológica. Existem estudos que avaliam e testam isso. Pegam grupos para fazer avaliação de alguma coisa, para um dão dinheiro, para outro não, e medem o conflito de interesses dessa forma. O ponto é esse, e esse conflito deve ser atual, verificável e objetivo.
(26:08) Agora, você tem formas de lidar com isso. Um processo de conformidade, uma área de compliance, visa justamente fazer isso, entre outras coisas. Você estabelece um código de ética dentro da instituição, e entre as coisas muito comuns em códigos de ética está a questão dos presentes. É um exemplo básico de conflito de interesse você receber presentes de pessoas sobre as quais sua decisão poderia ser afetada pelo recebimento desse presente. Claro que estamos falando aqui de organizações de tamanhos muito diferentes, mas isso no âmbito da administração de empresas e na própria questão de conformidade já existe. Outra forma de lidar com conflito de interesse é você dar o máximo de informações possíveis que possam afastar eventuais situações de suspeitas sobre conflitos aparentes. Por isso que se falou muito na audiência que não devemos dar a identidade do encarregado porque as pessoas poderiam ir atrás dele nas redes sociais.
(27:16) Não me parece que essa seja uma justificativa para não dar o contato dele, a identidade, que é o que a lei diz. Porque você tem uma série de outros cargos em que a identidade precisa ser sabida, não só no setor público, mas no privado também, como diretor de S.A. e coisas do tipo. Em última análise, essas pessoas também poderiam ser afetadas. Não creio que essa seja uma desculpa. Se a pessoa é perseguida, é outro problema, que não deve ser discutido aqui.
(28:02) Mas me parece, Guilherme, que isso se cruza um pouco com aquela questão que a gente vai entrar também, que é a da indicação formal do encarregado.
(28:16) Exato. Porque, me corrija se essa ideia estiver errada, mas me parece que a ANPD poderia simplesmente exigir a formalização de quem é o encarregado junto a ela, de alguma forma. Alguém colocou isso lá. E no site, de repente, poderia constar simplesmente o escritório do encarregado, uma maneira não personalizada, um canal de atendimento não personalizado. E aí não precisaria saber o nome da pessoa que é o encarregado, desde que eu tenha condições fáceis, e aí tem as outras coisas que a LGPD também demanda, de exercer meus direitos.
(29:00) Se eu conseguir fazer isso, francamente, como titular, pouco me interessa o nome do encarregado. Agora, para a ANPD, é importante para não ficar uma coisa solta. A gente vai discutir a questão da indicação formal na sequência, mas me parece que não seria estritamente necessário colocar lá o nome de uma pessoa física que é o encarregado, tanto que o encarregado pode ser uma pessoa jurídica. Se é exercido por uma pessoa jurídica, eu não colocaria lá o nome da pessoa física que atende por meio da pessoa jurídica, eu colocaria o nome da pessoa jurídica como sendo o encarregado. De novo, não tenho o nome específico de alguém, tenho uma empresa que está atendendo essa outra com serviço de DPO. Não me parece algo essencial para o atendimento o nome do encarregado.
(30:10) Para o atendimento talvez não, agora junto à ANPD eu acho que sim. Eu concordo que sim. Mas era o que eu estava dizendo. Qual seria uma das formas para você afastar situações de conflitos de interesses presumidos, pressupostos ou aparentes? Dando o máximo de informações possíveis. Então você pode dizer, vamos imaginar, eu tenho uma pessoa que tem dois cargos dentro da empresa, que a norma permite que acumule cargos de encarregado, desde que não tenha conflito de interesse. Como eu lido para deixar bem claro que não há conflito de interesses? Bom, eu dou informação de quais são as atribuições dessas pessoas, porque daí outras pessoas conseguem olhar para aquelas atribuições e ver: “É, de fato, não tem relação, não tem conflito de interesse”.
(31:10) Agora, vamos imaginar situações em que eu não dou o nome do encarregado, seja pessoa jurídica ou física. A própria comunidade, a própria sociedade, por não saber o nome, não tem condições de ela tentar identificar situações de conflitos de interesses. Porque aqui, dentro da economia, eu tenho uma assimetria informacional. Parece-me que dar essa informação teria uma função não principal, mas adicional, de evitar ou de permitir que haja uma transparência no âmbito de eventuais situações de conflitos de interesse.
(31:46) O cara é diretor de compliance e DPO, e eu vejo o nome. Bom… E vamos lá, todo mundo que é DPO hoje em dia, não quero generalizar, mas já generalizando, vai lá no LinkedIn e faz questão de dizer que é DPO. Então, essa questão de não dizer, acho que o pessoal até ficaria chateado de não botar o nome. Eu nunca vi um encarregado que, todas as vezes que eu vou ver o LinkedIn, não esteja lá essa informação.
(32:19) Essa questão de você dar informações para a tomada de decisões me parece que seria importante. Bom, o GDPR fala sobre a questão do encarregado no artigo 38, número 6, e diz justamente que o responsável pelo tratamento (no caso, nossos agentes de tratamento) ou o subcontratante (que seria o operador) assegura que essas funções e atribuições não resultem num conflito de interesse. O que na União Europeia tem se dito em decisões? A gente fez uma pesquisa de decisões tanto de autoridades quanto do Tribunal de Justiça da União Europeia.
(32:59) Exemplos de conflitos de interesse: encarregado que era presidente do conselho de trabalhadores na Alemanha, decisão confirmada pelo Tribunal de Justiça da União Europeia. Em Luxemburgo, um DPO que também era chefe de conformidade, diretor de relatórios de lavagem de dinheiro. A justificativa: neste caso, o DPO estava envolvido na determinação e implementação do processamento de dados como parte de suas funções como chefe de conformidade e, portanto, estava obrigado a avaliar as práticas de processamento de dados que ele mesmo havia implementado. Nenhuma das medidas tomadas pelo controlador para mitigar o risco de conflito de interesses, como o fato de que, em caso de um potencial conflito, as práticas de processamento em questão precisariam ser contra-assinadas pelo superior hierárquico do DPO, foram consideradas suficientes.
(34:07) Você tem práticas de mitigação. Você pode, por exemplo: “Eu sou o chefe do RH e quero ser DPO”. Beleza, então outra pessoa vai estabelecer as hipóteses e a forma de tratamento naquele setor. Poderia ser uma forma de mitigação, ou a questão da contra-assinatura, ou você vai ter um comitê. Existem formas. A lei não está dizendo que não pode, porque em última análise, qualquer funcionário da empresa é funcionário da empresa e tem outras atividades. Em geral, a pessoa que acaba sendo DPO tem atividades gerenciais. Com todo respeito, você não vai pegar o vigia para ser DPO. Você vai pegar cargos gerenciais, pessoas que têm uma posição gerencial.
(34:55) Se levarmos ao pé da letra, nunca vai poder acumular. Por isso que tem que ser objetivo. Ainda, a AEPD, na Espanha, disse que o encarregado não poderia ser diretor executivo, diretor de operações, diretor financeiro, diretor médico, chefe do departamento de marketing, chefe de recursos humanos, mas também outras posições mais baixas na estrutura organizacional se tais posições levarem à determinação dos meios e propósitos do processamento de dados. Esse é o ponto, não é bem o cargo, mas as suas decisões.
(35:38) Ainda, em Berlim, na Alemanha, um encarregado que também era diretor de duas outras empresas que atuavam como operadoras da controladora. Olha que interessante: o cara era encarregado da controladora, mas era diretor de duas outras operadoras que prestavam serviços para essa controladora. Conflito evidente de interesses aqui. E veja, isso é comum no mercado, não é tão difícil de ver situações dessa natureza, sobretudo em grupos.
(36:12) Ainda na Alemanha. Na Bélgica, agora, um DPO ocupava várias outras funções, incluindo liderança de gerenciamento de risco operacional de um banco e unidade de investigação especial. Na Bélgica, de novo, auditoria interna, gestão de risco e conformidade. Na Islândia, a encarregada era simultaneamente advogada sênior da empresa e vice-CEO e membro do Conselho.
(36:40) Na Bélgica, teve uma situação em que um CISO (Chief Information Security Officer), naquele caso concreto, não foi considerado em conflito de interesses, porque se conseguiu comprovar que as decisões sobre tratamento de dados não eram feitas por ele. Ele não tinha essa competência, era competência da direção de informática. No caso concreto, se comprovou que não tinha, mas veja, foi submetido.
(37:22) E por último, uma questão um pouco mais avançada: uma situação em que o DPO também era advogado, o que é muito comum. Considerou-se que não é o controlador a parte responsável para conferir se um encarregado externo (advogado) possui conflito de interesses. O caso é bem interessante: vamos imaginar que o DPO é advogado. Ele vai ser especialista em proteção de dados, presume-se. E ele vai atuar nessa área.
(38:09) Imagine uma situação básica de conflito de interesses: ele nunca poderia representar um cliente titular que foi afetado pelas práticas do agente de tratamento do qual ele é encarregado. Ele não poderia advogar contra a própria empresa, mesmo que ele só seja DPO. O que se estabeleceu em Luxemburgo é que deve ser o advogado a declarar essas situações quando acontecerem, pois isso estaria dentro das normas éticas da advocacia. É plenamente possível. Ou ele advoga para um concorrente, ou é DPO do encarregado e do operador. Como vai participar de uma reunião em que se discutem práticas em que há um dissenso entre as partes? Ele não tem a liberdade de tomar essas decisões.
(39:15) Uma coisa que ninguém falou, e que me surpreendeu, foi o conflito de interesses entre encarregados e gestores de TI e de segurança. As empresas, cotidianamente, por acharem erroneamente que proteção de dados é somente uma questão de tecnologia, colocam nas costas desses gestores, principalmente os de segurança. Me parece que, claro, sempre precisamos analisar o caso concreto, mas é um caso muito flagrante de conflito de interesses.
(39:53) Sim, até porque é mais uma daquelas coisas que a gente vê no dia a dia, esses embates entre esses cargos. E não raro, isso acaba se acumulando, juntando tudo. O que eu achei complicado foi a tentativa de muita gente querendo especificar pontualmente o que seria o conflito de interesse. Eu acho que é um pouco difícil fazer isso, você corre o risco de fazer uma lista incompleta das situações.
(40:49) Algumas leis fazem isso. Acho até que um advogado comentou se não se poderia estabelecer um rol, aquela história entre rol aberto e rol fechado. E eu acho que ele comentou… pena que a gente não pegou o nome. Se vocês estiverem nos ouvindo, perdoem-me. Se quiserem que a gente dê o crédito, a gente dá. Mas poderia dar um rol aberto. O problema é que, mesmo diante do rol aberto, conforme todas essas decisões e o que já se escreveu sobre isso, o conflito de interesses não se dá a priori. Tanto que essa decisão da Bélgica, que disse que o CISO não tinha conflito de interesses, foi pelo simples fato de que, apesar de ser CISO, ele não tomava decisões sobre o tratamento de dados.
(41:50) O ponto é justamente que a regra me parece ser suficiente. Você sempre vai precisar olhar para o caso concreto para avaliar se havia ou não um conflito de interesse. Você pode partir de alguns exemplos e da jurisprudência estrangeira, por que não? Acho que demos bons exemplos aqui. Acredito que a regra seja suficiente nesse caso. Lembrando ainda que, além da questão do setor público, a própria ISO 27701, na parte de segurança, tem um controle específico de segregação de funções para evitar conluio e tudo mais. Reforçando a ideia de que não é algo novo, existe bastante coisa já escrita sobre conflito de interesses.
(42:47) Esse, sem dúvida, foi o assunto mais debatido. Foi o conflito de interesses, o que o pessoal mais citou. A cada dois, um falava sobre conflito de interesse.
(43:03) Mais até, eu acho. A cada três, cinco. Bom, aí depois teve a questão da indicação da identidade. Você tocou um pouco antes ali. Eu te confesso que se a razão for evitar que pessoas vão na rede social cobrar coisas do encarregado, não creio que seja uma boa razão. Há cargos que você vai precisar dar uma publicidade, sobretudo porque você está diante de um tipo diferente de interação das pessoas com as empresas. É algo novo também.
(43:48) Agora, a gente sabe também que, como eu disse antes, creio que seja importante para afastar situações de suspeitas de conflitos de interesses. Muito importante. A sociedade consegue ver: o cara é diretor de compliance e encarregado. Bom, tem um conflito de interesse e você não poderia. O risco dessa omissão seria indicar alguém com conflito de interesses e isso não ficar claro para a sociedade, ou ele não indicar o encarregado. Porque a nomeação pública é importante para mostrar para a sociedade, mas também para a ANPD. Imagine que a ANPD questiona o agente de tratamento sobre a existência de um encarregado, ele não definiu, não tem no site, mas ele indica depois. E a ANPD não tem como avaliar se isso foi feito antes.
(44:53) Isso se conecta, inclusive, com a questão do ato formal. “Ah, o que é ato formal? Eu vou ter que estabelecer o que é ato formal?”. Bom, você tem, dentro do direito dos contratos, por exemplo, toda uma teoria por trás do que é um contrato formal, a forma do negócio jurídico. Você também tem questões relacionadas a manifestações ou formas de declarações que são expressas ou tácitas, escritas, verbais, eletrônicas. Discutir o que é formal é básico do direito.
(45:37) Mas qual a utilidade do ato formal? Me parece que é justamente evitar que a empresa, quando instada pela ANPD para indicar se já havia feito a definição do encarregado, consiga comprovar que fez a indicação anteriormente à notificação. Porque senão, repito, o sujeito não indica no site e nem faz um ato formal, ele nomeou verbalmente. Se não precisa ser formal, poderia ser verbal. “Ah, mas o que eu vou fazer?”. Algumas pessoas disseram: “Ah, então significa uma ata? Significa colocar no contrato de trabalho dele que ele é encarregado?”. Sim, posso fazer por uma ata, posso fazer por meio do contrato.
(46:27) É a velha história de gerar evidências, Guilherme. Quando tu chegas e tens uma política formal, tu tens uma política formalmente estabelecida de não sei quê. O cara vai dizer: “Tenho”. “Onde?”. “Ah, a gente imprimiu, está na gaveta”. Não, isso não é política formal. “Ah, não, mas ela está publicada, o pessoal assina um termo de ciência de que sabe que existe a política, sabe onde ela está disponível”. Isso é formal. Então, tem que gerar evidência de que em algum momento tu escolheu, tu atribuiu. Vai ter que ter evidência da atuação.
(47:11) É como se determinar quem é o encarregado fosse uma coisa isolada. Não, eu indiquei o encarregado. Cara, tu vais ter a geração de um monte de evidências de que ele está atuando ou de que ele não está atuando. No momento em que tu tens um encarregado definido desde o ano passado, “beleza, me mostra um relatório de impacto que ele tenha feito, qualquer documento, uma ata, uma análise feita em cima de uma situação de tratamento de dados, qualquer coisa”. “Ah, não tenho, nunca aconteceu”. O que esse encarregado fez nesse um ou dois anos?
(48:04) Ficou com um papelzinho escrito “encarregado”? É interessante que quem nos escuta e está envolvido com tratamento de dados, parece que o encarregado tem que ficar respondendo e-mail e passando dado pessoal. Não é isso. O encarregado tem muito trabalho, por isso que é complicado acumular essa função.
(48:35) Exatamente. Senão, ele não vai conseguir fazer nada. Vai ficar lá: “Eu sou encarregado”, mas não faz nada. Acredito que a gente tenha essa situação em várias empresas, até porque não conseguiram implementar ainda, não conseguiram organizar os processos, está muito incipiente, e fizeram o mínimo, que foi indicar quem é o encarregado, geralmente acumulando com outra função. Mas se o encarregado for efetivamente trabalhar como encarregado, ele vai ter que gerar evidência de que está fazendo isso.
(49:12) É até para cumprir um princípio. As pessoas têm uma visão de como se legisla ou se produzem normas como essa, que é um regulamento, muito míope às vezes. “Ah, eu não posso usar conceitos indeterminados”. Não sabe direito o porquê. Veja, você tem um princípio na LGPD, o princípio de responsabilização e prestação de contas, inciso X do artigo 6º: “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. Logo, eu preciso demonstrar.
(50:22) Se esqueceram que temos o princípio da responsabilização e prestação de contas. Se eu não publicar o nome e nem tiver ato formal, estou cumprindo o princípio? Me parece que não. Além de trazer um malefício e uma dificuldade de verificação para os próprios titulares, ainda tem outro princípio, que é o da transparência: informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
(51:14) Indicação dos encarregados por operadores como facultativa. Vinícius, você cantou essa pedra antes.
(51:24) É que, na verdade, eu acho que onde o pessoal se perde é achar o seguinte: o operador, estou pensando num terceiro, numa empresa que presta serviço. Vamos supor que o Guilherme é a empresa controladora, e eu sou a empresa que vai prestar um serviço para o Guilherme. O Guilherme vai definir, como controlador, qual é o tratamento dos dados que vai ser feito, os parâmetros, vai negociar isso comigo, e eu vou ser o simples operador. Aí poderia se dizer: “Olha, eu não preciso do encarregado para lidar com o tratamento que o Guilherme está fazendo e que ele está determinando, que eu só estou executando”.
(52:11) Agora, por outro lado, a minha empresa não existe só para fazer a operação do Guilherme. Eu sou uma empresa. Por óbvio, que eu vou tratar dados dos meus funcionários, vou eventualmente tratar dados dos meus clientes. Eu posso não precisar de consentimento, porque vou ter, por exemplo, um contrato com o Guilherme e vou precisar dos dados pessoais dele, que vão estar no contrato. Tem a hipótese de tratamento por cumprimento de instrumento contratual. E aí eu vou ter dados pessoais sob a minha guarda. Talvez o maior volume seja de dados pessoais que eu estou atuando como operador, mas isso é problema do Guilherme. Mas eu, ainda assim, terei os dados pessoais dos titulares que, de alguma maneira, têm relação comigo, desde funcionários até clientes, para os quais eu estou determinando o tratamento e, portanto, sou controlador.
(53:29) E aí, obviamente, eu tenho que ter o encarregado. O operador será um controlador. Não é porque o operador é operador de alguém que ele nunca vai poder ser um controlador em outras atividades. Ele vai acabar tendo um encarregado em um momento ou outro.
(53:57) Agora, tem uma outra coisa aí que eu acho que a discussão acaba sendo um pouco mais complexa também. Você tem certos serviços em que, porque a lei diz que o sujeito será controlador quando ele toma as decisões referentes ao tratamento de dados, ele pode tanto estar numa situação que ele vai tratar os dados, ou ele vai contratar um operador. Só que os operadores também têm limites. E eu tenho serviços muito distintos que vão envolver o tratamento de dados pessoais dos meus titulares, como controlador.
(54:40) Veja, eu posso estar diante tanto de um serviço de plataforma como serviço (PaaS), como uma AWS, em que eu, controlador, vou tomar muitas decisões. Eu diria que talvez eu consiga tomar todas as decisões sobre como… não todas, é demais.
(55:00) Infrastructure as a Service (IaaS). Tu consegues, dentro do que eles te oferecem, escolher o que tu vais fazer com os dados.
(55:10) Eu falei PaaS, mas seria IaaS, um caso de nuvem. Ainda assim, tu tens um certo grau de liberdade. Acho que o caso em que o operador se tornaria praticamente um controlador, porque ele estaria determinando também o tratamento, seria o que o Google faz de maneira bem agressiva.
(55:35) Ah, sim, aí é controlador conjunto. Mas o ponto é esse. Você vai ter certos serviços que a margem de decisão sobre tratar ou não aqueles dados pessoais naquele operador, como o operador oferece um serviço padronizado, pré-formatado, a forma com que o controlador vai tomar a decisão referente àquele tratamento se dará por adesão. Ou seja, o controlador diz: “Bom, eu quero tratar os dados dos meus titulares nesse serviço, nesse software as a service (SaaS), porque tem muitos por aí”. E aí você teria essa decisão dada por adesão do controlador para tratar os dados. Mas veja, é uma adesão com base em formas de tratamento pré-formatadas, nos limites do próprio serviço oferecido.
(56:34) Porque, vamos imaginar que eu, o controlador, chego para o operador e digo: “Tá, eu quero que você trate o dado pessoal dessa forma, não da forma como você trata, mas de outra”. E o operador vai dizer: “Olha, diante das limitações do meu serviço, eu não consigo te atender nesse sentido. Por exemplo, não consigo fazer um backup por meio de uma API em qualquer plataforma que você queira. Eu só vou conseguir usar o backup que eu já tenho contratado”. Veja, essa é uma decisão de tratamento.
(57:05) E notem, enganam-se aqueles… quando a gente começa a estudar os documentos lá da União Europeia, do Article 29 Working Party, do EDPB, não significa que o operador nunca tomará decisões sobre tratamento de dados. As decisões mais importantes, as decisões cruciais sobre tratar ou não aquele dado, de fato, são tomadas pelo controlador. Mas, ainda assim, decisões residuais ainda vão ser tomadas pelo operador. Por exemplo, “vou decidir se o meu banco de dados vai ser Oracle ou SQL”. Essa é uma decisão que o operador toma e é uma decisão relevante para a segurança. “Vou decidir, por exemplo, o tempo de backup que eu vou fazer”. É uma decisão dele. Inclusive, o operador pode errar aí.
(58:00) Ele pode fazer backup numa frequência menor do que a necessária. Ou eu poderia botar outra situação: eu posso, de repente, por uma questão de custo, eu, operador, deixar de usar o data center de São Paulo de um provedor de nuvem qualquer e migrar para o data center de Ohio, nos Estados Unidos, ou no Japão. Eu posso continuar prestando o serviço, mas posso mover o meu recurso de região.
(58:34) Aí eu acho que, de novo, é o detalhamento que o controlador tem que ir. Porque no momento que ele contrata o operador, ele estabelece os parâmetros do serviço. Para não deixar isso a cargo do operador… para mim, são decisões importantes: backup, onde vai ficar hospedado, etc. Porque daqui a pouco, eu não considero a transferência internacional de dados.
(58:59) Mas aí você está considerando que o operador tomaria essa decisão sem comunicar o controlador.
(59:04) Não foi o que eu disse. O controlador tem que saber que ele está fazendo isso.
(59:08) Mas pode acontecer. Pro operador, mover as coisas de um lugar para outro, de um repositório para outro, às vezes são alguns cliques. Para ele, pode ser muito natural, porque ele continua dentro do mesmo provedor.
(59:27) Mas você pode ter reflexos em uma série de normativas, inclusive da ANPD, ao mover dados para uma região não confiável.
(59:36) Sim, mas o ponto nem é esse. A pergunta que se discutiu é: o operador deve indicar encarregado? Eu acho que, diante de todas essas questões, adicionando o fato de que o operador ainda deve seguir, para não ser responsabilizado em caso de incidentes ou tratamento ilícito, as regras impostas pelo controlador… e vamos abstrair essa questão de contrato de adesão e regras pré-estabelecidas… O controlador foi lá e deu todas as regras para ele seguir, e ele ainda deve seguir as regras da própria lei, porque o controlador não vai dizer tudo para ele.
(1:00:20) O controlador vai dar para o operador todas as regras de tratamento, e o operador ainda vai ter que cumprir a lei. Então, nesse sentido, qual seria a pessoa mais indicada, estabelecida na LGPD, para realizar todas essas atividades? Letra A: Compliance Officer. Letra B: CEO. Letra D: Encarregado de Proteção de Dados.
(1:00:50) A gente está brincando, mas isso é bem sério. Aquela coisa do tratamento e meios de tratamento humanizados, achei aquela discussão até interessante. Alguém falou lá: “Será que humanizado quer dizer que o encarregado deve tratar bem o titular, com educação?”. “Como você está se sentindo hoje?”. Tem que tratar bem, claro, não pode ser grosseiro.
(1:01:38) Mas você nota que a interpretação jurídica é uma tarefa difícil, mesmo diante dos advogados. Por exemplo, quando você vai interpretar um texto legal, sobretudo o Código Civil, você tem os títulos. Para que servem os títulos? “Ah, só para organizar”. Não, não é só para organizar. O título, o capítulo, a seção de um determinado artigo, ou seja, o artigo está dentro de um capítulo tal, dentro de uma seção tal, isso também orienta a interpretação. Você olha para a lei como um todo, mas também para a própria posição que aquele artigo está, justamente para que ele não fique repetindo. Se eu tenho diversas regras acerca do encarregado e tenho um capítulo “Das Obrigações do Encarregado”, não preciso ficar repetindo em todo artigo. Ele já está dentro de um contexto.
(1:02:49) Contexto importa para a interpretação jurídica. É óbvio que não se trata de educação. Me parece que aqui está mais ligado com a questão de uso de sistemas automatizados.
(1:03:00) Mas eu acho que isso tem muito a ver com esse trauma coletivo de quem usa essas pretensas IAs e esses canais de atendimento com robôs, que dão uma raiva às vezes. Você precisa resolver um negócio no banco, um cartão, e faz uma pergunta. “Ah, se você está tendo problema com seu cartão, vá não sei onde”. Você tem um problema tão específico que o robô é burro e não consegue lidar com aquilo. E aí ele entra num looping do qual você não consegue sair e não consegue ser atendido por uma coisa besta. Acho que isso é uma coisa que já aconteceu com todo mundo que já usou algum tipo de serviço de autoatendimento com robô.
(1:04:00) O Facebook é fantástico quando o pessoal entra lá pedindo ajuda porque perdeu a conta, para recuperar a conta. Prepara-se, você vai entrar num loop infinito. É uma coisa ridícula. E essa questão do atendimento humanizado, inclusive, que alguns bancos já colocam como um diferencial para contas especiais.
(1:04:30) Dependendo da conta que tu tens. Não sei se é o Ultravioleta, mas tem outros bancos que anunciam a mesma coisa. É o seguinte: se tu queres ser atendido por um ser humano e não quiser lidar com os nossos robôs, vais ter que gastar um pouco mais com a gente, vais ter que ser rico para ter um cartão Diamond, Black, não sei o quê. E o lance da ANPD aí talvez seja isso, porque está lá na LGPD que tem que ser fácil de exercer teus direitos.
(1:05:13) Tem que ser relativamente fácil, não pode ter impedimentos. Inclusive, tem aquela coisa do timing da resposta: tem que informar imediatamente se tem informação sendo tratada a respeito do titular que está entrando em contato, e tu tens 15 dias para entregar os dados que tu tens a respeito desse titular. Eu fico imaginando que esse negócio do autoatendimento e da questão humanizada é meio que para garantir que a gente vai ser atendido. Porque eu não vejo problema, de verdade, se eu entrar num site de uma empresa para exercer meus direitos de titular e o negócio for tudo automatizado e for fácil, não for uma coisa cheia de entraves. Se for fácil, eu consigo fazer rapidinho, me autentico, provo minha identidade com biometria, qualquer coisa, e recebo meus dados. Show, para mim é melhor do que ficar trocando e-mail.
(1:06:05) Eu fiz um teste com uma empresa esses dias, pedi meus dados e tive que ficar trocando e-mail com o encarregado. Eu peço meus dados, aí vem o e-mail: “Não, eu preciso de um documento de identidade”. Aí o processo falha. Eu peguei um PDF da minha CNH e mandei. Daqui a pouco, vem uma planilha Excel com meus dados anexados. Então, se eu tiver o teu documento nessa empresa, um PDF do teu RG, eu peço teus dados.
(1:06:40) Esses dias eu fui num hotel em Passo Fundo e precisavam dos meus dados para fazer o check-in. Eu falei: “Eu vou te falando e tu vais digitando”. “Ah, não, tu tens que nos mandar uma foto no nosso WhatsApp”. Eu disse: “Não, não vou mandar”. Queriam uma foto minha no WhatsApp do hotel para anexarem lá no sistema, uma foto do meu documento. Eu disse: “Não vou te dar. Queres os dados, anota aí”. Mas tu percebes que é o suficiente, nesse caso específico que eu testei, para eu pegar os dados do titular. Basta ter uma foto do documento dele, mais nada.
(1:07:34) Eu acho que isso é um outro problema.
(1:07:40) Eu estou falando da segurança do processo. A questão aqui é outra.
(1:07:43) Estou tocando nisso também, mas estou dizendo que é um processo falho, feito por um ser humano trocando e-mails. Eu prefiro uma forma automatizada que seja mais dinâmica e, talvez, mais segura. O exemplo do “eu preciso da cópia dos meus dados”. Alguém falou isso também lá, infelizmente a gente não notou porque foram, sei lá, 7 horas de audiência pública, deu 5 horas de gravação total.
(1:08:17) E às vezes uns áudios que você não conseguia entender nada, umas confusões. Mas teve uma pessoa que falou justamente isso, acho até que ela usou o exemplo do Facebook, que você entra, pede a cópia dos seus dados… não só o Facebook, mas várias plataformas de redes sociais. Você vai ser atendido de uma forma automatizada. Eu acho que a questão não é “humanizado”, e talvez o termo… claro, diante de uma interpretação finalística e dentro do contexto, dá para entender que não é sobre boa educação.
(1:08:52) Mas eu acredito que, em algum momento, a pessoa deva, se ela quiser, ter um atendimento e conseguir falar com alguém. A questão seria: você pode fazer o atendimento automatizado, e aí não confundir com tratamento automatizado, é atendimento automatizado, desde que este atendimento não seja prejudicial para o titular. Se a automatização ajudá-lo, beleza. “Ah, mas como é que eu vou saber?”. Isso é um problema de qualquer lei. As leis possuem conceitos indeterminados. O Código de Defesa do Consumidor diz: “Considera-se prática abusiva, entre outros…”. “Como é que eu vou saber o que é ‘entre outros’?”. Aí é interpretação jurídica, para isso que a gente passa 5 anos numa faculdade, 3 anos no mestrado e 4 anos no doutorado. Uma das atividades do advogado é a interpretação jurídica.
(1:10:11) Não dá para dizer tudo, criar regrinhas. Inclusive, já se tentou fazer isso, a própria ideia de codificação. Os grandes códigos do direito francês tinham aquela ideia de totalidade: “Vou colocar todas as regras para regular todas as relações privadas dentro do Código Civil”. E com o tempo foi se vendo que não dava, porque tinha um monte de exceções. O que eu faço? Começo a criar cláusulas abertas, crio o princípio da boa-fé objetiva. Algumas pessoas dessa audiência, talvez, quando confrontadas com a boa-fé objetiva, poderiam dizer: “Mas a lei не diz o que é, como é que eu vou saber?”. Bom, você tem jurisprudência, você tem doutrina. É mais texto para ler, tem que estudar.
(11:18) Tem que estudar qualquer área. Não dá para o Vinícius sair dando pitaco na área de direito, eu preciso do Guilherme.
(11:21) Então dá o teu pitaco aí, um facilzinho, que é a questão da língua portuguesa, artigo 11.
(11:26) Deixa eu ler o artigo 11 e aí você fala, e a gente já vai terminando. “O encarregado deverá ser capaz de comunicar-se de forma clara e precisa e em língua portuguesa com os titulares de dados e com a ANPD”.
(11:59) Cara, eu fiquei muito surpreso, muito feliz que eles botaram isso ali, porque eu fiquei imaginando tentar exercer meus direitos e uma pessoa me atender em russo ou alemão. Eu fiquei muito tranquilizado, achei tranquilizador o fato de que, quando eu for atendido pelo encarregado no exercício dos meus direitos da LGPD, eu seria atendido em português, brasileiro de preferência.
(12:47) Eu achei completamente desnecessário isso, sabe? Porque já pensou se a gente vai botar em todo lugar que fala de qualquer tipo de relação com ente público no Brasil que a criatura vai ter que se comunicar em língua portuguesa? Se eu vou numa prefeitura e vou ser atendido por um funcionário público, precisa alguém dizer em algum lugar que o cara tem que se comunicar fluentemente em língua portuguesa para poder exercer o cargo? Fiquei surpreso com a insistência em se discutir esse ponto.
(13:40) Eu posso estar errado, não sou dono da verdade. Mas tem uma outra coisa: vamos conceder para essas pessoas, e isso é importante, o cara tinha 5 minutos para dar sua mensagem. 5 minutos é pouco tempo. Às vezes é difícil explicar uma posição complexa em 5 minutos.
(14:15) Só que boa parte da galera estava com texto pronto. E aí tu não precisas fazer o texto em 5 minutos, podes parar, analisar, preparar, pensar bem, sopesar. Então, aqueles 5 minutos são a expressão daquilo que tu preparou. Acho que não serve muito bem como desculpa, não. Se o cara pegou 5 minutos e falou de primeira, sem se preparar, aí não se inscreve para audiência pública.
(14:48) Mas eu acho que você tem questões complexas que não consegue explicar em 5 minutos. Teve textos escritos que foram lidos, a boa parte foi lida, deu para perceber.
(15:07) Qual é o ponto? Eu acho que é “capaz de se comunicar”, e não “de comunicar-se”, mas tudo bem, já que estamos falando de língua portuguesa. Eu creio que seja um não-problema. A lei tenta resolver problemas que existem, via de regra. O problema precisa existir para que a lei possa regulá-lo. Talvez a autoridade tenha identificado isso. Mas, às vezes, a lei possui também uma função promocional. Às vezes, repetir ajuda.
(15:54) Ela vai dizer: “Olha, tudo bem, é evidente, eu sei que tem que falar em português”. Até porque, se a gente for considerar que muitas das relações de tratamento de dados se dão no âmbito de relações de consumo, e o CDC exige essa questão do vernáculo, isso já estaria previsto lá. Mas, como você disse, não se admite o sujeito falar em russo contigo. Alguns disseram: “Ah, mas se o sujeito é o encarregado do exterior e não fala português, então o decreto estaria impedindo-o de ser encarregado?”. Primeiro, o decreto não está impedindo o sujeito de ser encarregado se ele for um estrangeiro em outro país. E notem, é uma situação meio estranha, talvez aconteça com as big techs. Agora, 90% das empresas… estou tentando resolver um problema de três ou quatro empresas ou um problema geral?
(17:16) E mesmo assim, se tu contratas uma empresa indiana para fazer o teste, e o cara te atende e tu não consegues conversar com a criatura, vamos supor, colocam um cara que não fala português e ele fica insistindo em te atender em inglês. Pegando uma situação estapafúrdia. Cara, tem os princípios. Aí tu voltas na LGPD.
(17:46) O cara está descumprindo a LGPD, claro. O titular não consegue com facilidade ser atendido. Tu estarias violando claramente o que a LGPD está demandando. Eu acho que é uma coisa que, quem sabe, pela questão da repetição, de reforçar certas coisas, pode até ser. Talvez tenha que ser dito mesmo. Tem certas coisas que a gente acha óbvias, mas talvez tenha que dizer. Tu tens que dizer para a criatura que ela não pode estacionar o carro na frente de uma garagem. Talvez tenhas que botar lá um negócio dizendo “sujeito a guincho”, porque ainda assim vai ter o cara que vai estacionar. Então, quem sabe. Eu acho desnecessário, mas quem sabe.
(18:38) Tu resolves com os princípios: livre acesso, transparência. Mas me parece ainda que é um não-problema, porque “ah, mas eu não posso impedir que o sujeito não fale português”. Definitivamente não é o que o regulamento trata. E veja, há uma presunção de que o sujeito precisa falar a língua. Se eu for trabalhar na Alemanha de encarregado numa empresa alemã, e eu chego lá e digo “pessoal, eu esqueci de dizer, eu não falo alemão”, eles vão dizer: “Então, tá bom, obrigado, Guilherme”. É uma presunção.
(19:44) Bom, Vinícius, terminamos com essa discussão da língua portuguesa. Teve outras coisas que mereceram atenção das pessoas que foram lá. Foi interessante para a gente ter uma ideia da média dos problemas suscitados pelos profissionais de proteção de dados, o que os encarregados pensam.
(20:25) Claro que ali não eram somente encarregados. Só que tem alguns detalhes, como tu bem citaste no início, tu tinhas um grupo de pessoas que fez um certo movimento em conjunto, e aí, obviamente, a visão acaba sendo uniformizada, tu não tens uma real discussão. Tu tens ali uma certa forma de colocar as coisas que tende a se repetir e que meio que mina a diversidade de opiniões.
(21:02) Sim, mina essa questão da necessidade da diversidade de opiniões.
(21:08) É verdade. Meio que avacalha a ideia de discussão pública e diversidade no momento em que tens um grupo que já vem com a ideia formadinha e, inclusive, com roteiro de atuação.
(21:26) Bem lembrado. É uma coisa estranha. Mina a ideia de uma audiência pública. E talvez a ANPD, que também está aprendendo, precise ficar atenta para certos interesses ali que podem estar sendo manifestados. Claro que, numa audiência pública, é legítimo que todo mundo que quiser participar participe, mas ela talvez tenha que dosar e ficar atenta para certos interesses que às vezes estão por baixo do que está se colocando. Mas veja, isso acontece em toda audiência, é normal.
(22:05) Bom, pessoal, chegamos a 1h20min. Agradecemos a todos aqueles e aquelas que nos acompanharam até aqui. Nos encontraremos no próximo episódio do podcast Segurança Legal.
(22:19) Até a próxima.
(22:20) Até a próxima. Hoje vamos ter que encerrar meio de pronto, Guilherme, que eu tenho que sair correndo. Tenho um compromisso na sequência, então a gente não vai ficar batendo aquele papinho extra que a gente fica batendo normalmente com a nossa audiência do YouTube.
(22:49) Grande abraço, pessoal.
More shows like Segurança Legal
View all
Braincast
108 Listeners
RapaduraCast - Podcast de Cinema e Streaming
111 Listeners
MacMagazine no Ar
179 Listeners
Xadrez Verbal
174 Listeners
Giro do Loop
91 Listeners
Tecnocast
43 Listeners
NerdCast
1,010 Listeners
Naruhodo
120 Listeners
Petit Journal
78 Listeners
Durma com essa
46 Listeners
História FM
30 Listeners
Ciência Suja
20 Listeners
Vortex
19 Listeners
Só no Brasil
4 Listeners
IA Sob Controle - Inteligência Artificial
0 Listeners