Categorias
Notícias

Nairane Leitão: Proteção de dados na Bélgica e no Brasil

É notícia de maio de 2020 que a autoridade de proteção de dados belga multou uma operadora de telefonia em 50 mil euros por concentrar nas funções de DPO (Data Protection Officer) equivalente ao encarregado de proteção de dados da Lei Geral de Proteção de Dados (LGPD) as responsabilidades pelo compliance da companhia.

A notoriedade da sanção não reside no valor em si, mas no fato de ser a maior multa já aplicada por aquela autoridade, o que parece ter sido feito para chamar a atenção para a importância da função do DPO e da necessidade de assegurar que o seu desempenho se dê sem quaisquer embaraços.

Com isso, a autoridade de proteção de dados belga passou a mensagem de que não iria admitir o acúmulo de funções pelo DPO capaz de comprometer o seu agir independente ou de suscitar conflitos de interesse com outros setores da mesma companhia.

Pelo regulamento europeu de proteção de dados (GDPR), o DPO precisa desempenhar suas funções com independência, possuir um nível de conhecimento adequado, orientar a conformidade no seu ambiente de trabalho e reportar-se ao mais elevado nível gerencial da organização.

Desse modo, o DPO é fundamental para o sucesso da conformidade da empresa com o GDPR e tem uma colocação de alta governança dentro da organização, devendo servir como consultor da diretoria, embora seja dela independente. A sua autonomia dentro da empresa é importante para que não seja impedido de realizar a contento o seu papel.

O GDPR não veda completamente que o DPO exerça outra função, embora o conflito de interesse seja uma questão complexa. O mais importante nessa discussão é que ele não seja responsável pela supervisão das atividades do cargo que eventualmente acumulou, isto é, que não lhe caiba analisar criticamente se tais atividades estão sendo desempenhadas de modo a garantir a proteção dos dados objeto de tratamento pela companhia.

Por exemplo, o DPO necessita realizar uma análise isenta das orientações pensadas e das medidas implementadas pelo setor de TI, responsável por adquirir as ferramentas de tecnologia, bem assim como aquelas adotadas pelo setor da segurança da informação, no qual se realiza o controle do tratamento dos dados, de tal modo que será difícil exercer com imparcialidade essas funções se as acumular.

No exemplo citado acima, o ideal é que, enquanto um implementa ou controla a tecnologia (in casu, o setor de TI ou de segurança da informação, respectivamente) o outro audita e fiscaliza (neste caso, o DPO) como uma balança em equilíbrio.

Outras áreas espelham de forma ainda mais evidente o conflito de interesses com a função de DPO, é o caso das diretorias que não sejam exclusivas para a proteção de dados, recursos humanos, marketing, inovação, comercial/vendas etc.

Pois bem, para a autoridade belga, como as rotinas de compliance naquela companhia de telefonia em específico tratam um volume relevante e constante de dados pessoais, o DPO estaria inviabilizado de supervisionar de forma independente tais atividades.

Contudo, muitos profissionais da proteção de dados viram como excessiva a decisão. Na Europa, não é raro que o DPO, mesmo que não subordinado (em razão de sua independência), reporte-se à mesma diretoria responsável pelo compliance.

Se a decisão colocou em xeque algumas políticas de governança europeias, trouxe ainda mais dúvidas para as atribuições do cargo de encarregado aqui no Brasil.

Não obstante o GDPR ser referência para a LGPD, esta não previu as mesmas características do DPO para o encarregado. Na verdade, pouco falou a seu respeito, limitando-se a dispor no artigo 41, § 2º, que lhe cabe aceitar reclamações e orientar os titulares, receber comunicações da autoridade nacional, orientar os funcionários de onde desempenha sua função e executar as demais atribuições conferidas pelo controlador ou normas complementares.

Deixou para a ANPD (Autoridade Nacional de Proteção de Dados) o ônus quanto à definição e as atribuições do encarregado, assim como também a incumbiu de estabelecer as hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Até um efetivo pronunciamento da ANPD (que sequer está definitivamente instituída), todas as empresas terão que nomear um encarregado de proteção de dados e, considerando que mais de 90% delas são micro ou pequenas empresas, sem organização e orçamento suficientes para prover o cargo, as maiores restrições ao acúmulo de função para o encarregado pode tornar impossível a sua própria existência.

Se por um lado se espera que a ANPD utilize muito das bases já definidas para o DPO na Europa, por outro, sabe-se também que parte da discussão sobre conflito de interesse será sanada apenas na análise casuística.

Nesse cenário, mais uma importante situação está à espera da criação da ANPD: compatibilizar os requisitos para o lugar do encarregado inclusive no que concerne à sua independência com outras funções com a realidade do setor econômico brasileiro, composto, em grande parte, por micro e pequenas empresas.

 é sócia do escritório Serur Advogados, responsável pela área de privacidade e proteção de dados.

Categorias
Notícias

Corregedor suspende cobrança de contribuições ilegais de cartórios

Em decisão liminar, o corregedor nacional de Justiça, ministro Humberto Martins, determinou ao Colégio Registral Imobiliário de Minas Gerais (Cori) a imediata suspensão da prestação de serviços não previstos no Provimento  89/2019, da Corregedoria Nacional de Justiça, pela Central Eletrônica de Registro de Imóveis (CRI-MG), bem como a cobrança de contribuição de 4,89%, descontada do valor a ser repassado aos cartórios, ante a sua manifesta ilegalidade.

ReproduçãoCorregedor suspende cobranças de contribuição ilegais de cartórios de MG

Segundo o ministro, a CRI-MG extrapolou suas finalidades previstas no Provimento 317/2016, do Tribunal de Justiça de Minas Gerais, que são de armazenar, concentrar e disponibilizar informações, bem como efetivar comunicações obrigatórias sobre os atos praticados nos serviços de registro de imóveis, além de prestar os respectivos serviços por meio eletrônico e de forma integrada.

“Verifica-se que, em nenhum momento, é atribuída à CRI-MG a função para prestar ou intermediar a prestação de serviços a terceiros, como se fosse um cartório de registro de imóveis. Além disso, instituiu e cobra uma taxa pelos serviços que presta. Taxa é uma espécie tributária, portanto, vinculada à prévia existência de lei que a institua. Além de ser manifestamente ilegal, é tratada pelo Colégio Registral com absoluta normalidade, conforme consta do comunicado aos associados, de 28 de abril de 2020”, enfatizou o corregedor nacional.

Cobranças

Com relação à cobrança, o ministro Humberto Martins destacou que o CRI-MG, sob o fundamento de déficit mensal considerável, instituiu uma “contribuição” de 4,89%, a ser descontada do valor repassado aos cartórios e que incidirá sobre a visualização de matrícula, pedido de certidão e prenotação.

“Não cabe a nenhuma central cartorária do país efetuar cobranças dos seus usuários, ainda que travestidas de contribuições ou taxas, pela prestação de seus serviços, sem previsão legal. A atividade extrajudicial é um serviço público, exercido em caráter privado, cujos valores dos emolumentos e taxas cartorárias pressupõem a prévia existência de lei estadual ou distrital”, disse.

Portanto, segundo o ministro, as cobranças praticadas pelo Cori-MG na Central Eletrônica de Imóveis, bem como em qualquer central eletrônica de registro de imóveis existentes em todo o território nacional, são manifestamente ilegais.

Restituição

Ainda em sua decisão, o corregedor nacional de Justiça determinou a restituição em até 24 horas de qualquer valor retido ou pago pelos cartórios de Minas Gerais, a contar de 30 de abril, até o julgamento final do pedido de providências formulado contra o Colégio Registral Imobiliário de MG.

Além disso, o ministro Humberto Martins determinou a imediata suspensão da prestação de serviços não previstos no Provimento 89/2019 a todas as Centrais Eletrônicas de Registro de Imóveis dos Estados e do Distrito Federal, bem como da exigibilidade de quaisquer cobranças de valores, ainda que sob a denominação de “taxas e contribuições”, sem previsão legal. Com informações da assessoria de imprensa do CNJ.