[     O Encarregados de dados/DPO e as restrições legais Jurídicas:

Consultoria e Assessoria Jurídica é atividade privativa.  ]

 

Artigo Jurídico Científico 

limites-dpo-IV.jpg

Ilderlândio Teixeira

 

Sumário: Notas Introdutórias. 1. Do DPO/Encarregado de dados. 2. Do exercício Profissional. 3. Do processo de Implementação LGPD. 4. Da Consultoria e Assessória Jurídica. Considerações finais. Fontes de Pesquisa.

 

 

Notas Introdutórias

 

   Mike Ross mente brilhante da série Suits/Netflix consegue convencer o todo expert Harvey Specter a ser seu associado mesmo sem ter licença de Advogado, isto é, ao menos era Bacharel em Direito, diga-se exigência legal nos EUA e em tantos outros povos, trata-se de ciência especializada.

   O presente vem trazer uma abordagem do Direito Comparado Português & GDPR, com o Direito Brasileiro & LGPD sobre o real alcance e poder concedido ao Encarregado de Dados também denominados DPO (Data Protection Officer) nos atos de consultoria e assessoria jurídica.

   A proteção dos dados pessoais e sua respectiva privacidade passam por vários setores para salvaguardar, tanto na GDPR como na LGPD as limitam regularmente em medidas técnicas e organizacionais na implementação quando das boas práticas sem descuidar da legislação.

  É notório que a privacidade e proteção de dados é um dos maiores desafios à sociedade Brasileira, compreender os seus direitos e deveres, assim como o papel real das organizações na salvaguarda e empoderamento do Encarregado de dados.

   O caminho a ser trilhado passa pelos objetivos, fundamentos, bases legais e princípios entre eles a prevenção, segurança, e finalidade, todos com pressupostos tecnológicos e jurídicos, limitar-se-á aqui a tratar do alcance jurídico na privacidade e proteção dos dados pessoais.

 

  1. Do DPO/Encarregado de dados

 

  O Encarregado de dados tanto no Brasil como na Europa especificamente em Portugal poderão ter alcance jurídico na Consultoria e/ou Assessoria caso sejam Advogados.

A Lei Geral de Proteção de Dados tupiniquim não define um perfil propriamente do que seria às atribuições do encarregado de dados e não trata explicitamente na norma a inferência sobre conhecimento especializado no domínio do direito.

  Ao contrário da lei irmã, o GDPR traz de maneira explicita nas atribuições do Encarregado de dados o conhecimento especializado no domínio do direito para exercer a função de Encarregado de Dados.

Questões devem postas perante está afirmativa: CONHECIMENTO ESPECIALIZADO NO DOMÍNIO DO DIREITO.

  • Quem habilita esse conhecimento?
  • Qual profissional detêm esse conhecimento?
  • Há órgão de classe que autoriza o uso deste conhecimento?
  • Há ilegalidade no emprego do conhecimento?

   O princípio constitucional remete a inteligência que tudo aquilo que não for defeso por lei pode ser praticado, é a regra. Porém uma lei quando nasce é inserida no ordenamento jurídico a qual deve conviver de maneira harmoniosa com as demais.

  Assim estabelece a Carta Magna: é livre o exercício de qualquer trabalho, ofício ou profissão, atendidas as qualificações profissionais que a lei estabelecer.

 

  1. Do exercício Profissional

   

   A função do Encarregado de dados/DPO não traz restrições propriamente olhando para dentro da LGPD e do GDPR, porém a visão deve ser ampliada aos ordenamentos jurídicos Lusitanos e Brasileiros, a qual não pode causar qualquer incompatibilidades e/ou conflitos com o ofício da advocacia.

   O exercício regular de uma profissão é estabelecida por sua ficha profissiográfica que pode ser estabelecida via regulamento, instrução normativa e leis.

   O DPO e o Encarregado de dados não tem uma ficha propriamente que defina seus pressupostos consoante a LGPD, já na GDPR é mais clara quanto as funções por ele a ser desenvolvida, conhecer a lei não trata-se de processo hermenêutico jurídico.

   É sabido que a ANPD regulará muitos pontos e lacunas que a lei não traz respostas no momento atual, e um deles é o poder ampliar o rol de atribuições que o Encarregado de Dados poderá exercer em sua função.

   O certo é que ao tocante aconselhamento jurídico deve-se fazer ressalvas ao exercício regular da função nos setores a fim evitar conflitos de normas e ilegalidades perante o ordenamento jurídico e atribuições advocatícias.

   Destarte, a Advocacia é um ofício indispensável à segurança jurídica nos atos manifestamente privativos a ela nos procedimentos de Postulação, Consultoria e Assessoria jurídica, assim como de direção jurídica.

É salutar ao Advogado que vier a tratar com proteção e privacidade de dados busque e/ou deva ter habilidade e capacitação perante a novidade não apenas legislativa, assim como de governança organizacional e segurança da informação para lhe dar subsidio de transitar no melhor interesse da corporação.

 

  1. Do processo de Implementação LGPD

 

   Os especialistas enumeram vários os processos e frameworks capazes de auxiliar o processo de implementação da Lei Geral de Proteção de Dados (ITIL, COBIT, SCRUM, SGPD, SGSI), porém nenhum deles tratam da consultoria e assessoria jurídica.

   Boas práticas e governança são salutares para manutenção do negócio com estabelecimento de procedimentos e normas de segurança, assim como mitigar riscos e outros aspectos de dados pessoais, nestes podem estar inclusos a consultoria e assessoria jurídica privativas do Advogado.

   As normas ISO/IEC 27001, 27002 e 27701 são requisitos e diretrizes para a gestão da organização no tocante a privacidade da informação que poderão auxiliar e facilitar a aplicação da lei, são tidas como boas práticas, porém o seu alcance não tem cunho jurídico, e não pode/deve.

   O processo de implementação deve ser auditável como forma de assegurar o princípio da prestação de conta e da responsabilização no tratamento com os dados pessoais. Deve-se gerar evidências perante o cumprimento da lei, sendo assim os atos jurídicos devem estar assegurados por um Advogado.

   A Gestão do programa de privacidade e proteção de dados segue fases de mobilização inicial, avaliação inicial de privacidade, de um diagnóstico detalhado, acompanhado do inventário de dados pessoais, assegurado pela governança de privacidade de dados a qual resultará em um plano de ação.

   Prontamente, para atender estas fases deve-se criar um comitê com vários setores da empresa, tais quais: segurança da informação, jurídico, Compliance, áreas de negócio e TI. O Encarregado de Dados/DPO necessita ter skills para lhe dar com o comitê a fim de pôr a salvo a privacidade e proteção de dados dos titulares.

 

  1. Da Consultoria e Assessória Jurídica

 

   A Consultoria Jurídica é o ato especializado que apoia, auxilia e orienta a organização via pareceres, opiniões e estudos com o intuito de detectar falhas e apresentar soluções jurídicas para o negócio, além de apontar mudanças que possam melhorar os gaps. Por exemplo quando da orientação da base legal a ser seguida levando em consideração as demais normas e princípio de atuação da empresa.

    A assessoria jurídica é o ato especializado na coleta e análise de dados técnicos, estatísticos ou científicos com o intuito de oferecer segurança jurídica para o negócio da organização em suas diferentes áreas.

   A assessoria jurídica é a forma ativa e estratégica voltada para a empresa, atuando de maneira reflexiva e preventiva aos problemas da empresa com soluções a fim de mitiga-los. Por exemplo quando da revisão contratual, um análise de impacto jurídico quando do vazamento de dados com reflexos civis, penais e administrativos.

   O aconselhamento disposto no Regulamento Geral de Proteção de Dados Europeu quando da avaliação de impacto na função de DPO/Encarregado de Dados devem ser balizados no âmbito jurídico para o tratamento dos dados pessoais.

dpo-limite 2.png

   A Lei n.º 145/2015 de 9 de setembro trata do EOAP (Estatuto da Ordem dos Advogados de Portugal) combinado com a Lei nº 49/2004 (DRE-Portugal) define os atos próprios dos advogados Portugueses, e assim define consulta jurídica:

“Considera-se consulta jurídica a actividade de aconselhamento jurídico que consiste na interpretação e aplicação de normas jurídicas mediante solicitação de terceiro.” (Grifou-se e manteve-se o original)

   O EOAP ainda pontua diante do exercício ilegítimo da advocacia: Os magistrados, conservadores, notários e responsáveis pelas repartições públicas têm obrigação de comunicar à Ordem dos Advogados qualquer facto que indicie o exercício ilegal ou irregular da advocacia, designadamente, do patrocínio judiciário. (Grifou-se)

Na lei geral de proteção de dados não traz nenhuma orientação neste sentido ao Encarregado de Dados, isto é, o aconselhamento não se faz presente.

   Assim como no Estatuto dos Advogados Portugueses aqui também via Lei 8.906/1994 EOAB combinado com Regulamento Geral do Estatuto da OAB quando do aconselhamento jurídico ser privativo do Advogado:

“São atividades privativas de advocacia:

II - as atividades de consultoria, assessoria e direção jurídicas.”

   O STJ vai de encontro e ratifica as disposições constantes no EOAB e RGOAB:

Não se pode confundir o "exercício da advocacia", no âmbito profissional, com o mero pleito em favor de terceiro, quando é desinfluente a profissão do requerente. Isso porque o art. 1º da Lei 8.906/94 estabelece como atividades privativas da advocacia a postulação perante o Poder Judiciário, bem como as atividades de consultoria assessoria e direção jurídicas.

(REsp 1582053/SP, Rel. Ministro MAURO CAMPBELL MARQUES, SEGUNDA TURMA, julgado em 19/10/2017, DJe 18/12/2017)

 

   O STF reconhece desde muito que os atos de consultoria, assessoria e direção jurídica são inócuos se são feitos por não Advogados:

O ESTATUTO DA ORDEM DOS ADVOGADOS DO BRASIL, ART. 76, CONSIDERA NULOS OS ATOS PRIVATIVOS DE ADVOGADO, PRATICADOS POR PESSOAS NÃO INSCRITAS NA ORDEM.

(STF - RHC: 42174, Relator: Min. HAHNEMANN GUIMARAES, Data de Julgamento: 01/01/1970, TRIBUNAL PLENO, Data de Publicação: DJ 12-05-1965 PP-*****) (Grifou-se)

___________________________________________________________

I - O advogado que subscreveu a petição de interposição do recurso ordinário está com a inscrição suspensa na OAB/MG, não possuindo, portanto, capacidade postulatória para a prática do ato. II -  Esta Corte entende que o recorrente deve possuir capacidade postulatória para interpor recurso ordinário em habeas corpus, ainda que tenha sido o impetrante originário, por tratar-se de ato privativo de advogado. III - Nos termos do art. 4º, parágrafo único do Estatuto da Advocacia e da OAB, são nulos os atos privativos de advogado praticados por aquele que esteja com a inscrição suspensa.

(STF - RHC: 121722 MG, Relator: Min. RICARDO LEWANDOWSKI, Data de Julgamento: 20/05/2014, Segunda Turma, Data de Publicação: DJe-194 DIVULG 03-10-2014 PUBLIC 06-10-2014) (Grifou-se)

   A inteligência do art. 4º do atual Estatuto da OAB, ano 1994 também dispõe ser nulos os atos privativos de advogado praticados por pessoa não inscrita na OAB, sem prejuízo das sanções civis, penais e administrativas

Considerações Finais

   Prontamente as atividades de Consultorias e Assessorias Jurídicas tanto em Portugal à luz da GDPR quanto no Brasil à luz da LGPD é atribuição exclusiva do ADVOGADO. A prática da advocacia por quem não atende a determinação legal, ou seja, por quem não é advogado inscrito na OAB, configura exercício ilegal da profissão.

   É certo, não cabe ao Encarregado de Dados/DPO aconselhar juridicamente, prestar consultoria jurídica e tal pouco emitir parecer jurídico. Por mais expertise que possa ter o DPO/Encarregado de dados (Mike Ross) quando do aconselhamento no âmbito jurídico via consultoria e/ou assessoria trata-se de ato ilegal passivo de crime no exercício irregular de profissão tanto em Portugal no Código Penal Lusitano (art. 358º) como no Brasil na Lei de Contravenções Penais (art. 47).

   O ato de suspenção de Advogado por si só retira os seus direitos privativos de exercer a advocacia plena, passa a ser ilegal. Portanto, não se pode aceitar que um Encarregado de dados e/ou DPO sem nenhuma formação reconhecida pela Constituição Federal e a Ordem dos Advogados do Brasil possam usurpar um oficio advocatício, é ilegal, é crime, é uma insegurança à sociedade e às empresas que não se atentarem a isto.

   Os verbos aconselhar, emitir, consultoria dispostos na GDPR e do Grupo de Tralho expostos no WP 243 ver.01 devem analisados e empregados de forma restritiva quando ao âmbito jurídico, assim como não se pode transpor à LGPD que não tem tais verbos, tais replicações caso venham a ser realizadas pela a ANPD devem ter um limitador e uma restrição à hermenêutica jurídica.

 

Fontes de Pesquisa

 

BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados. Planalto, 2018. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 11 jul. 2020.

BRASIL. LEI Nº 8.906, DE 4 DE JULHO DE 1994. Dispõe sobre o Estatuto da Advocacia e a Ordem dos Advogados do Brasil (OAB). Planalto, 1994. Disponível em: < http://www.planalto.gov.br/ccivil_03/leis/l8906.htm>. Acesso em: 01 jul. 2020.

BRASIL. Regulamento geral do estatuto da advocacia e da OAB*. Dispõe sobre o Regulamento Geral previsto na Lei nº 8.906, de 04 de julho de 1994. OAB, 1994. Disponível em: < https://www.oab.org.br/content/pdf/legislacaooab/regulamentogeral.pdf>. Acesso em: 01 jul. 2020.

BRASIL. DECRETO-LEI Nº 3.688, DE 3 DE OUTUBRO DE 1941. Lei das Contravenções Penais. Planalto, 1941. Disponível em: < http://www.planalto.gov.br/ccivil_03/decreto-lei/del3688.htm>. Acesso em: 01 jul. 2020.

BRASIL. Lei nº 13.105, de 16 de março de 2015. Código de Processo Civil. Vade Mecum Civil e Empresarial. 4. ed. Salvador: JusPODIVM, 2018.

MALDONADO, Viviane Nóbrega. Coordenadora. Lei Geral de Proteção de Dados: Manual de Implementação. 1.ed. São Paulo: Revista dos Tribunais, 2019.

MALDONADO, Viviane Nóbrega. BLUM, Renato Opice. Coordenadores. Comentários ao GDPR. 1.ed. São Paulo: Revista dos Tribunais, 2019.

PORTUGAL. Lei n.º 145/2015 de 9 de setembro. Aprova o Estatuto da Ordem dos Advogados, em conformidade com a Lei n.º 2/2013, de 10 de janeiro, que estabelece o regime jurídico de criação, organização e funcionamento das associações públicas profissionais, e revoga a Lei n.º 15/2005, de 26 de janeiro, e o Decreto-Lei n.º 229/2004, de 10 de dezembro. OAPT, 2015. Disponível em: < https://portal.oa.pt/ordem/regras-profissionais/estatuto-da-ordem-dos-advogados/>. Acesso em: 11 Jun. 2020.

PORTUGAL. Lei n.º 49/2004 de 24 de Agosto. Define o sentido e o alcance dos actos próprios dos advogados e dos solicitadores e tipifica o crime de procuradoria ilícita (Sétima alteração ao Estatuto da Ordem dos Advogados e primeira alteração ao Estatuto da Câmara dos Solicitadores). DREPT, 2004. Disponível em: < https://dre.pt/pesquisa/-/search/479604/details/maximized#:~:text=Lei%20n.%C2%BA%2049%2F2004,-Publica%C3%A7%C3%A3o%3A%20Di%C3%A1rio%20da&text=24%20de%20Agosto-,Define%20o%20sentido%20e%20o%20alcance%20dos%20actos%20pr%C3%B3prios%20dos,Estatuto%20da%20C%C3%A2mara%20dos%20Solicitadores).>. Acesso em: 11 jun. 2020.

PORTUGAL.  DL n.º 48/95, de 15 de Março. CÓDIGO PENAL DE 1982 VERSÃO CONSOLIDADA POSTERIOR A 1995 (versão actualizada). PGDL, 1995. Disponível em: <http://www.pgdlisboa.pt/leis/lei_mostra_estrutura.php?tabela=leis&artigo_id=&nid=109&nversao=&tabela=leis&so_miolo=>. Acesso em: 11 jul. 2020.

TEIXEIRA, Tarcisio. ARMELIN, Ruth Maria Guerreiro da Fonseca. Lei Geral de Proteção de dados pessoais – comentada artigo por artigo. 1.ed. Salvador: JusPODIVM, 2019.

UE. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em < https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN>. Acesso em: 10 jul. 2020.

 

Sobre o autor!

Advogado, DPO | CPO | Vice-Presidente CPPDP® OAB/DF | Mestrando Big Data | MBA em Curso | Itcerts® LGPD-RGPD | EXIN®LGPD | Especializando em Direito Digital | Especialista em Advocacia Civil e Processual Civil. | Graduado em Sistemas de Telecomunicações