Com o advento das Leis nºs 13.709/2018 e 13.853/2019 que instituíram, respectivamente, a Lei Geral de Proteção de Dados Pessoais e a Autoridade Nacional de Proteção de Dados, fortalecemos o microssistema de governança hight tech pátrio, o qual teve seu nascedouro com a promulgação da Lei nº 12.965/2014, também conhecida como Marco Civil da Internet, normativas essas que trouxeram uma gama de ferramentas hábeis a proteger tão importante direito: o de preservar ao máximo a intimidade e a privacidade dos dados pessoais do indivíduo[1].
Não obstante as inovações e inúmeros avanços oportunizados pela Lei 12.965/2014 no tocante à regulamentação das relações e interações ocorridas em ambiente virtual, firmando como um dos princípios da Internet no Brasil a necessidade à proteção da privacidade e dos dados pessoais no acesso à Internet e no tráfego de informações através dela, algumas lacunas permaneceram, mormente as relacionadas ao trato das informações solicitadas, armazenadas e manipuladas por sites, redes sociais, sistemas de e-commerce, APPs para smartphones e tantas outras aplicações eletrônicas.
Assim, com a promulgação da Lei Geral de Proteção de Dados, a qual entrará em vigor em Agosto de 2020, essa demanda foi finalmente atendida. Baseada no Regulamento Geral de Proteção de Dados – GDPR, da Comunidade Europeia, a lei brasileira prevê responsabilidades no trato das informações pessoais, limita a solicitação e o acesso às mesmas e abre a possibilidade do titular dos dados conhecer quais informações pessoais as empresas têm sobre si, cabendo a ele autorizar o acesso e o armazenamento das suas informações.
A partir da vigência da LGPD as empresas e organismos públicos e privados terão responsabilidades na solicitação, tratamento, armazenamento, sigilo e uso das informações pessoais de clientes, colaboradores e usuários de seus serviços, sendo necessário, desde já, a construção e a implementação de uma estrutura e de uma política interna de compliancedigital, com a instituição de um grupo ou comitê que atue exclusivamente na elaboração de políticas internas, metas e planos de gerenciamento de proteção de dados, assim como planos de emergência para gestão de crises envolvendo segurança e privacidade.
É nesse cenário que as Ouvidorias, enquanto locus estratégico de recepção de informações, de atendimento ao público, de consolidação de dados oriundos das manifestações que aportam pelos seus multicanais de acesso e, em alguns casos, de gerenciamento do Serviço de Informação ao Cidadão, instituído pela Lei de Acesso à Informação – LAI, assumem relevante papel nesse sistema de governança de dados, não só em relação àqueles que são tratados e armazenados em seus próprios sistemas, como também os que estão nas bases de outras unidades da organização, haja vista já fazer parte dos seus fluxos de trabalho o tratamento diferenciado de informações pessoais consideradas sensíveis, quer no bojo das manifestações sigilosas e das anônimas, bem como no âmbito das manifestações ostensivas, tudo em consonância com o disposto no artigo 31 da Lei nº 12.527/2011.
Nessa perspectiva, a Câmara de Vereadores da cidade de Vinhedo, no interior de São Paulo, editou a Lei Complementar nº 161, de 05 de julho de 2018, disciplinando, com base na LGPD, o tratamento e a proteção de dados pessoais por pessoa jurídica de direito público no mencionado município, instituindo órgãos para contribuir no controle desses dados, dentre eles, a Ouvidoria de Proteção de Dados, órgão autônomo, vinculado ao Poder Legislativo Municipal, com atribuição para defender os direitos e os interesses dos cidadãos no tocante à proteção de seus dados pessoais no âmbito da Administração Pública Direta e Indireta (artigos 42 e 43 do referido diploma legal).
Trata-se da primeira cidade a sancionar legislação sobre o tema e, de forma ampla, institui várias atribuições ao Ouvidor (art. 44), a quem compete zelar pela implementação e fiscalização da mencionada Lei Complementar, bem como, in verbis:
“(…) I – zelar pela proteção dos dados pessoais, nos termos da legislação;
II – formular recomendações para uma Política Municipal de Proteção de Dados Pessoais e Privacidade;
III – realizar auditoria nos tratamentos de dados pessoais e processos envolvidos com dados pessoais visando garantir a conformidade aos princípios e regras desta lei:
IV – promover entre a população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais, bem como das medidas de segurança;
V – recomendar a adoção de padrões para serviços e produtos que facilitem o exercício do controle dos titulares sobre os seus dados pessoais;
VI – coordenar ações integradas com os diversos órgãos e entidades no âmbito da municipalidade, a fim de encaminhar, de forma intersetorial, as reclamações dos munícipes, mecanismos e procedimentos para a proteção dos dados pessoais;
VII – receber e apurar as reclamações e denúncias, no âmbito da Administração Pública Direta e Indireta, ou agir de ofício, recomendo as providências cabíveis, nos casos de morosidade, ilegalidade, má administração, abuso de poder, omissão, negligência, erro ou violação aos princípios, direitos e deveres estabelecidos nessa Lei;
VIII – representar aos órgãos e instâncias competentes, quando constatar irregularidades ou ilegalidades do quanto previsto nesta Lei, sob pena de responsabilidade solidária;
IX – apresentar anualmente relatório circunstanciado das atividades e dos resultados obtidos à Câmara Municipal;
X – recomendações para a elaboração de relatórios de impacto à privacidade;
XI – realizar demais ações dentro de sua esfera de competência, inclusive as previstas nesta Lei e em legislação específica.
§1º – O Ouvidor tem amplos poderes de investigação, devendo as informações por ele solicitadas ser prestadas em quinze dias úteis, sob pena de responsabilidade, e goza de independência, autonomia administrativa e financeira, estando compreendidos, nos fins para os quais é instituído, os meios para o cumprimento de sua função (….)”.
Ainda a respeito da interação das Ouvidorias com o microssistema de proteção de dados, em recente palestra proferida na 4a Semana de Ouvidoria e Acesso à Informação, evento promovido pela Ouvidoria-Geral da União, na cidade do Rio de Janeiro, José Eduardo Romão, Ouvidor da BR Distribuidora, ressaltou que as atribuições do Encarregado (Data Protection Office – DPO), dispostas no artigo 41 da LGPD[2], são similares às já exercidas pelos Ouvidores em geral.
Nesse particular,também a Lei nº 13.853, de 08 de julho de 2019 que alterou a Lei nº 13.709, de 14 de agosto de 2018, que dispôs sobre a proteção de dados pessoais e que criou a Autoridade Nacional de Proteção de Dados, alterou o artigo 5º, VIII da LGPD, assim dispôs sobre a figura do Encarregado:
“Art. 5º (…)
VIII- encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”;
Nessa ótica, numa leitura sistemática e, num viés lógico-integrativo das normativas acima referidas em cotejo com o disposto nos incisos, II, III e VI do artigo 13 da Lei Federal nº 13.460/2017[3], tem-se que nas estruturas que contam com Ouvidores, a função de encarregado há que ser, preferencialmente, desempenhada por eles, por uma questão estratégica-organizacional relacionada à própria essência desse Agente de Governança e de Integridade.
Assim, há que se concluir que ter o Ouvidor como Encarregado pelo tratamento dos dados pessoais é vital para a efetividade de qualquer Programa de Implantação da LGPD, quer na esfera pública, quanto na privada, haja vista sua posição privilegiada na análise e na gestão dos riscos que envolvem a temática, bem como em razão da sua capacidade de liderar a equipe para atuações que possam prevenir, detectar e monitorar tais ocorrências.
Rose Meire Cyrillo
Promotora de Justiça do MPDFT
Membro Colaborador da Ouvidoria Nacional do Ministério Público
[1]A PEC 17/19, já aprovada na CCJ do Senado e que aguarda votação no plenário, acrescenta o inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição para incluir a proteção de dados pessoais entre os direitos fundamentais do cidadão.
[2] Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. § 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. § 2º As atividades do encarregado consistem em: I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações da autoridade nacional e adotar providências; III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. § 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
[3] Art. 13. As ouvidorias terão como atribuições precípuas, sem prejuízo de outras estabelecidas em regulamento específico:
- II – acompanhar a prestação dos serviços, visando a garantir a sua efetividade;
III – propor aperfeiçoamentos na prestação dos serviços;
VI – receber, analisar e encaminhar às autoridades competentes as manifestações, acompanhando o tratamento e a efetiva conclusão das manifestações de usuário perante órgão ou entidade a que se vincula;
Fonte: Linkedin