Muito se fala sobre o encarregado de dados pessoais, obrigação prevista na Lei Geral de Proteção de Dados, Lei 13.709/18[i]. As discussões giram em torno da formação e perfil profissional, habilidades, características comportamentais e competências, também sobre sua posição na estrutura da organização, se deve ser interno ou externo. Em meio a tantos questionamentos, fato é que cada organização vai definir o seu melhor modelo.

Um dos modelos possíveis é o ouvidor da organização assumir a função de encarregado. Esta hipótese, se não chega a causar espanto, no mínimo causa estranheza, pois a situação não parece intuitiva para o mercado.

A proposta aqui é identificar pontos que aproximam estas duas funções e fomentar a discussão sobre os prós e contras de designar o ouvidor como encarregado. Ao logo das reflexões ainda aparecem vários argumentos que apontam como a ouvidoria, posição já consolidada nas esferas pública e privada, pode colaborar para a instituição da nova atividade de encarregado dada a sua experiência na defesa da cidadania e no tratamento de demandas dos cidadãos.

O encarregado na LGPD

Na lei brasileira encontramos a definição: “VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)…” e suas atribuições descritas da seguinte forma:

§ 2º As atividades do encarregado consistem em:

i. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
ii. receber comunicações da autoridade nacional e adotar providências;
iii. orientar os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais; e
iv. executar as demais atribuições determinadas pelo controlador ou estabelecidas em
normas complementares.

Para a construção do descritivo das atribuições do encarregado também haverá regulamentação da
Agência Nacional de Proteção de Dados Pessoais e, com certeza, inspiração nas práticas e na
legislação europeia, que é a origem da estrutura da lei brasileira.

Observando apenas o texto da LGPD, a figura do encarregado parece ser mais simples do que realmente é. Ao estudar de forma mais aprofundada a lógica e os princípios que regem os sistemas de proteção de dados pessoais, observa-se que esta função tem muito mais sentido dentro do contexto de atribuições mais consistentes, como acontece na GDPR, do que na forma simplificada como foi descrita na LGPD.

O encarregado na lei europeia

A lei de proteção de dados da União Europeia[ii] cita em seu artigo 38 que o controlador precisa assegurar que o encarregado esteja envolvido na forma e na temporalidade adequadas com todas as questões relacionadas com a proteção de dados pessoais da organização. Não que estes processos estejam sob sua guarda ou decisão, sua missão é garantir a conformidade do tratamento de dados através de orientações, treinamento e auditorias.

A GDPR define como atribuições mínimas do encarregado:

 Informar e aconselhar os responsáveis pelo tratamento e seus colaboradores a respeito das
suas obrigações nos termos do regulamento e de outras disposições de proteção de dados.
 Monitorar a conformidade com o regulamento, com outras disposições de proteção de dados
e com as políticas internas relativas à proteção de dados pessoais, incluindo a atribuição de
responsabilidades, inclusive através de auditorias.
 Desenvolver e implementar plano de treinamento e conscientização das equipes
 Apoiar o desenvolvimento das avaliações de impacto sobre a proteção de dados e emitir
parecer sobre o resultado da análise.
 Manter relação com a autoridade de controle para consultas, esclarecimento de dúvidas e
cooperação sempre que necessário.
 Estar disponível para que tanto a autoridade quanto os titulares entrem em contato de forma
fácil e direta, sem necessidade de passar por outros departamentos da organização.

Além das atribuições, a GDPR também descreve os principais elementos a serem considerados em
sua seleção, nomeação e posição dentro do organograma.

Na GDPR a figura do encarregado é descrita como um dos pilares centrais do modelo de governança
de dados pessoais.

O item 3.1 do documento chamado “Orientações sobre os encarregados da proteção de dados” ou Guideline do Artigo 29 dobre o DPO[iii] descreve a função do encarregado na organização. Veja a reprodução do texto em Português de Portugal abaixo, onde EDP é encarregado e RGPD é GDPR:

“É crucial que o EPD, ou a sua equipa, seja envolvido, desde a fase mais precoce, em todas as questões relacionadas com a proteção de dados. Em relação às avaliações de impacto sobre a proteção de dados, o RGPD prevê explicitamente o envolvimento do EPD desde o início e especifica que, ao efetuar essas avaliações de impacto, o responsável pelo tratamento deve solicitar o parecer do EPD. Assegurar que o EPD seja informado e consultado durante a fase inicial permitirá facilitar o cumprimento do RGPD e promover uma abordagem de proteção da privacidade desde a conceção, pelo que deve constituir o procedimento normal da governação da organização. Além disso, é importante que o EPD seja encarado como interlocutor no seio da organização e que faça parte dos grupos de trabalho incumbidos de gerir as atividades de tratamento de dados nessa organização.

Por conseguinte, a organização deve assegurar, por exemplo, que:

 O EPD é convidado a participar regularmente nas reuniões dos quadros de gestão
médios e superiores;
 A sua presença é recomendada sempre que sejam adotadas decisões com
implicações na proteção de dados. Todas as informações pertinentes são
transmitidas oportunamente ao EPD, para que este possa prestar um
aconselhamento adequado;
 O parecer do EPD é sempre devidamente ponderado. Em caso de desacordo, o GT
29 recomenda, como boa prática, que sejam enunciados os motivos para não seguir
o parecer do EPD;
 O EPD é imediatamente consultado após a ocorrência de uma violação de dados ou
outro incidente.

Se for caso disso, o responsável pelo tratamento ou o subcontratante pode elaborar orientações ou programas em matéria de proteção de dados que definam em que momento o EPD deve ser consultado”.

Similaridades entre as duas funções

Em organizações maduras e responsáveis, o encarregado será mais que apenas um agente de comunicação, ele terá responsabilidade sobre a forma como os processos da organização abordam a temática da proteção de dados. Como citaram Bruno Bioni e Renato Leite Monteiro em seu artigo “O papel do Data Protection Officer”[iv]: “O DPO é a pessoa que atuará como canal de comunicação perante os titulares dos dados pessoais e aos órgãos reguladores. Ele deverá supervisionar todas as práticas de tratamento de dados pessoais dentro da organização e verificar se estas estão em conformidade com a futura Lei Geral e setoriais de proteção de dados pessoais… O DPO deverá, também, estar diretamente envolvido no
desenvolvimento de produtos, serviços e na formulação de políticas públicas para que a proteção da privacidade seja delas um valor de concepção, por meio de metodologias conhecidas como privacy by design e data protection by design…”.


Está no cerne das atribuições do encarregado zelar pela conformidade e garantir a transparência e o
balanceamento entre direitos, deveres e expectativas das partes envolvidas. Ele deve assegurar os
direitos dos titulares através da adequada governança e compliance do tratamento de dados sem
esquecer os direitos legítimos da organização.
Então, o que poderia se esperar desta figura?
Que atue de modo diligente e fiel no exercício de seus deveres e responsabilidades, que
preserve e respeite os princípios da Declaração Universal dos Direitos Humanos, da
Constituição Federal e das Constituições Estaduais, que respeite toda e qualquer pessoa,
preservando sua dignidade e identidade, que aja com transparência, integridade e respeito e
que promova a justiça e a defesa dos interesses legítimos dos cidadãos?
Na relação com os titulares, será desejável que esta figura estabeleça canais de comunicação
de forma aberta, honesta e objetiva, procurando sempre facilitar e agilizar as informações,
que atue com agilidade e precisão, que ouça seus representados com paciência, compreensão,
ausência de pré-julgamento e de todo e qualquer preconceito, que resguarde o sigilo das
informações e que reconheça a diversidade de opiniões, preservando o direito de livre
expressão e julgamento de cada pessoa e que também responda ao representado no menor
prazo possível, com clareza e objetividade?
Na efetivação de suas responsabilidades espera-se que promova a reparação do erro cometido
contra o seu representado e busque a correção dos procedimentos errados, evitando a sua
repetição, estimulando, persistentemente, a melhoria da qualidade na administração em que
estiver atuando, assim como a melhoria das suas práticas, utilizando eficaz e eficientemente
os recursos colocados à sua disposição?
Dada a delicadeza desta posição, será também recomendável que tenha o direito de exercer
suas atividades com independência e autonomia? Que não permita a intromissão ou a
insinuação de ninguém, seja autoridade ou não, na tentativa de deformar sua conduta ou
dirigir o resultado para um caminho diverso das suas legítimas e reais conclusões, para não
trair o interesse da sociedade e os objetivos da justiça?
Você acabou de ler a reprodução (quase) fiel dos 15 primeiros itens do Código de Ética do
Ouvidor[v], publicado pela ABO, Associação Brasileira de Ouvidores, entidade que defende “a
difusão da instituição da Ouvidoria como instrumento de aprimoramento democrático,
defesa dos cidadãos e de efetiva representação dos seus direitos e legítimos
interesses”[vi].
De forma geral, a conduta esperada da figura do encarregado guarda semelhança com a conduta
esperada de um ouvidor, ambos em defesa dos direitos humanos, um com foco no contexto da
proteção de dados pessoais, o outro observando de forma global todos os direitos dos cidadãos.

Ponderação de direitos e deveres

Uma das afinidades mais claras entre as duas atividades, é a busca do equilíbrio das relações entre o
cidadão e a organização.
Para cumprir efetivamente a missão de “aceitar reclamações e comunicações dos titulares,
prestar esclarecimentos e adotar providências”, espera-se que o encarregado acredite
“piamente que o seu papel de representante do cidadão comum, mais do que uma
procuração de fato, é um sério compromisso em busca da satisfação do reclamante, do
aperfeiçoamento do fato reclamado e da otimização da qualidade da instituição que
representa”. Curiosamente este texto é o décimo ponto de Decálogo do Ouvidor e estará presente
no cotidiano do encarregado de dados que cumpre fielmente com sua missão.
A ouvidoria representa a voz do cidadão dentro da empresa, funciona como instância máxima de
acesso quando o problema não é resolvido nos canais de atendimento mais simples como um SAC. O
ouvidor tem o compromisso de compreender o que esta pessoa precisa, prestar os devidos
esclarecimentos iniciais e interceder junto à organização.
Como “porta vozes da parte mais fraca” tanto o ouvidor quanto o encarregado precisam analisar a
demanda de forma isenta. Primeiro avaliar se a solicitação é procedente, se for, cabe buscar a
resposta adequada em forma e conteúdo. Havendo qualquer impasse, as duas funções precisam se
embasar na técnica e na ética para balizar os direitos e os deveres naquela relação específica e emitir
seu parecer sobre a solução mais justa para o cidadão sem que haja prejuízo dos direitos básicos da
organização.
Ambas as atividades se embasam nos direitos e na participação do cidadão e trabalham no equilíbrio
da relação: organização x públicos de interesse. Nos dois casos, é necessário ponderar os interesses
das partes, observando a defesa da parte hipossuficiente. Talvez “defesa” nem seja o termo mais
adequado, “representação” parece mais apropriado para a função de “dar voz” ao manifestante. Não
se trata de uma defesa direta e absoluta, tanto o ouvidor quanto o encarregado de dados pessoais
avaliam de forma isenta os direitos e interesses das partes e buscam uma solução adequada, a mais
próxima possível de um consenso que atenda todos os envolvidos.
Neste processo de consenso, ainda cabe a ambas as funções a ferramenta da mediação como forma
de dirimir conflitos antes que se estendam à esfera judicial, situação prejudicial para todos.

Perfil profissional e comportamental

Falando em perfil, ambas as atividades exigem as habilidades de transitar por todas áreas, de
interagir e influenciar. É essencial que estas figuras possuam perfil interativo, sociável e gerem
integração e colaboração.
Outras características em comum são a ética e o sigilo. Estas características são praticamente
intuitivas para os dois cargos. A GDPR é explicita quanto ao sigilo: “O encarregado da proteção
de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das
suas funções…”
Agora falemos da transparência, esta coisa simples que fortalece as relações e constrói a confiança.
A transparência tem que ser um valor para o ouvidor e para o encarregado. Eles precisam realizar seu
trabalho com clareza e objetividade. O ouvidor e o encarregado seriam como o vidro que permite a
passagem da luz para ambos os lados na relação entre a organização e seus públicos de interesse.
Eles se posicionam de forma ética como representantes do cidadão dentro da organização e como
representantes da organização para o mundo exterior, ou seja, para o cidadão/titular e para os órgãos
de controle. Estas posições exigem um elevado grau de tranquilidade e ponderação.
Com relação ao perfil profissional, segundo Grupo de Trabalho do Artigo 29,
“O EPD deve ser designado com base nas suas qualidades profissionais e, em especial, nos
seus conhecimentos especializados no domínio das normas e práticas de proteção de
dados, bem como na sua capacidade para desempenhar as respetivas funções.
O nível necessário de conhecimentos especializados deverá ser determinado em função das
operações de tratamento de dados realizadas e da proteção exigida para os dados
pessoais objeto de tratamento. Por exemplo, se a atividade de tratamento de dados for
particularmente complexa, ou se estiver em causa uma grande quantidade de dados
sensíveis, o EPD poderá necessitar de um nível de competências e de apoio mais elevado.
As competências e conhecimentos especializados pertinentes incluem:
 competências no domínio das normas e práticas de proteção de dados nacionais e
europeias, incluindo um conhecimento profundo do RGPD,
 conhecimento das operações de tratamento efetuadas,
 conhecimento das tecnologias da informação e da segurança dos dados,
 ·conhecimento do setor empresarial e da organização,
 capacidade para promover uma cultura de proteção de dados no seio da
organização. Fonte: artigo 37.º, n.º 5, do RGPD.”
O “conhecimento técnico e regulatório” já esteve presente no texto da lei brasileira, mas foi vetado.
O artigo 41, dedicado ao encarregado de proteção de dados pessoais, possuía o parágrafo 4º que foi
vetado[vii]:
“§ 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídicoregulatório e ser apto a prestar serviços especializados em proteção de dados, além do
disposto neste artigo, a autoridade regulamentará…”
O veto teve o seguinte argumento:
“A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento
jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma
exigência com rigor excessivo que se reflete na interferência desnecessária por parte do
Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como
ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por
restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.”
Embora tenha havido o veto, faz sentido que o encarregado, qualquer que seja sua formação,
realmente tenha conhecimento sobre todo o sistema de proteção de dados.
Já as recomendações do Manual de Boas Práticas da ABRAREC[viii], traz o seguinte texto:
“A formação da equipe de Ouvidoria não difere muito daquilo que esperamos do perfil do
Ouvidor no tocante a valores e competências comportamentais, com grau diferente de
exigência.
A empatia no atendimento, a coleta de todos os dados da manifestação, o registro
adequado em sistema, à identificação da causa raiz, o respeito aos prazos e indicadores
estabelecidos, são tão importantes quanto a efetiva solução do problema.
Para o bom desempenho da equipe entendemos que certos aspectos precisam ser bem
assimilados:
 Os fundamentos básicos e premissas de uma Ouvidoria;
 O papel da Ouvidoria dentro da organização que está inserida;
 Ética e Cidadania;
 Mediação de Conflitos;
 Negociação;
 Conhecimentos de Normas e Legislação (ao menos setorial);
 Conhecimentos do Código de Defesa do Consumidor – CDC e Código de
 Defesa dos Usuários de Serviços Públicos;
 Comunicação;
 E profundo conhecimento dos processos da Ouvidoria (dentro da organização).
Ressaltamos que se não houver investimento para o desenvolvimento da equipe, pode-se
comprometer o canal e os resultados por mais renomado que seja o Ouvidor escolhido. A
maturidade dessa equipe certamente se dará através da prática, tendo como base os
aspectos acima citados”.
No caso do acúmulo de funções, o ouvidor precisa incluir mais dois conhecimentos em sua lista:
domínio das normas e práticas de proteção de dados e conhecimento das tecnologias da informação e
da segurança dos dados. Entretanto, a matéria “proteção de dados” é bastante complexa, exige muito
estudo e prática. Claro que parte deste conhecimento pode vir com a estruturação de uma forte
equipe de apoio, mas esta preocupação com a formação do ocupante da cadeira precisa estar na pauta
no momento da indicação.
Por fim, cito mais um elemento patente na lei europeia que é o estudo continuado exigido do
encarregado. Segundo a GDPR, a organização precisa apoiar o “encarregado da proteção de
dados no exercício das funções a que se refere o artigo 39.o, fornecendo-lhe os recursos
necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos…” O
estudo e a atualização constante passa ser uma obrigação para a empresa e para o encarregado. A
temática proteção de dados pessoais é complexa e exige conhecimento aprofundado, visão global das
leis de outros países, que formarão em pouco tempo um sistema interligado. Além do sistema global
de proteção de dados que está em rápida evolução, ainda será preciso acompanhar o crescimento e
modificações da tecnologia que gera impacto direto em todas as suas atividades.
O encarregado tem a necessidade de deter conhecimento multidisciplinar e/ou possuir equipe que
garanta este leque de conhecimentos necessários que envolvem: direito, planejamento, gestão,
tecnologia, segurança da informação, negócios, governança, comunicação, compliance etc. A
função do encarregado não se encerra em um único conhecimento, pois, além de a proteção e dados
abranger a organização de forma transversal, ainda é, em si mesma, uma atividade que envolve em
todas estas áreas. O encarregado planeja, gerencia projetos, mantém a visão da governança de dados
e o relacionamento institucional, faz atendimento e comunicação e outras atividades.
A ouvidoria já não possui esta exigência de conhecimentos multifacetados de forma tão contundente,
entretanto, quanto mais conhecimento se tem do negócio, mais eficazes são as soluções encontradas.
Segundo o Manual da Ouvidoria Pública da CGU[ix], o ouvidor “…deve conhecer com
profundidade os procedimentos, fluxos, e as áreas finalísticas do órgão ou entidade em
que trabalha. Somente assim ele poderá instruir o cidadão, indicar-lhe quais são os seus
direitos e deveres e até onde pode ir sua expectativa”. Por mais simples que sejam as
demandas, a equipe da ouvidoria sempre busca compreender a causa raiz de um problema, tanto
quanto a principal “dor” apresentada pelo manifestante, este é o primeiro passo para construir uma
ponte de compreensão capaz de solucionar as questões que se apresentam.
Então, qualquer que seja o nível em que se dê a necessidade de conhecimento sobre temáticas
específicas ou sobre o negócio da organização, fato é que as duas atividades precisam ter
conhecimento mínimo que permita uma análise crítica e colaborativa. É preciso compreender a
linguagem utilizada pelo cidadão, a linguagem utilizada pela organização e avaliar as melhores
soluções técnicas e operacionais.
Uma característica muito importante para os ouvidores é a capacidade de gestão de crises. Como
parte isenta da organização, os ouvidores geralmente são convidados a participar das salas de crises,
muitas vezes interagem com vários atores na busca de conciliação. Geralmente têm perfil
equilibrado, conhecem do negócio e são hábeis em negociação. Todas estas características também
são essenciais para o encarregado de dados pessoais e colaboram, em muito, com missão de interagir
com a Agência Reguladora.

Fluxo de atendimento e melhoria contínua

Ao ouvidor competem duas atividades bem delineadas: receber e tratar as demandas e contribuir para
o aperfeiçoamento constante dos processos da instituição.
O primeiro fluxo consiste em ouvir o manifestante, compreender seu pedido, qualificar a demanda
avaliando sua legitimidade, se articular com as áreas internas da organização na busca da solução do
problema. O ouvidor é um porta voz do cidadão dentro da organização.
O segundo fluxo consiste na análise e organização das informações extraídas das manifestações. O
ouvidor utiliza as manifestações como insumo para preparar relatórios gerenciais e sugerir melhorias
para os processos da organização.
Uma definição da Controladoria Geral da União[x] ajuda na compreensão das duas vertentes de
atuação da Ouvidoria: “Uma ouvidoria pública atua no diálogo entre o cidadão e a
Administração Pública, de modo que as manifestações decorrentes do exercício da
cidadania provoquem contínua melhoria dos serviços públicos prestados”. Embora seja
focada na administração pública, esta definição também é válida para as ouvidorias da esfera
privada, da mesma forma que o Manual de Ouvidoria Pública:
“Ouvidoria pública é a “instância de controle e participação social responsável pelo
tratamento das reclamações, solicitações, denúncias, sugestões e elogios relativos às
políticas e aos serviços públicos, prestados sob qualquer forma ou regime, com vistas ao
aprimoramento da gestão pública” (art. 2º, V, Decreto n. 8.243/14).
A ouvidoria auxilia o cidadão em suas relações com o Estado. Deve atuar no processo de
interlocução entre o cidadão e a Administração Pública, de modo que as manifestações
decorrentes do exercício da cidadania provoquem a melhoria dos serviços públicos
prestados e uma maior satisfação das pessoas. Na ouvidoria, a análise das manifestações
recebidas pode servir de base para informar aos gestores das políticas públicas acerca da
existência de problemas e, como consequência, provocar melhorias conjunturais e
estruturais.
As ouvidorias são instrumentos típicos de Estados democráticos, pois elas se
fundamentam na construção de espaços plurais, abertos à afirmação e à negociação das
demandas dos cidadãos, reconhecidos como interlocutores legítimos e necessários no
cenário público nacional…”
Por fim, a Ouvidoria atua de forma passiva no atendimento a demandas e de forma ativa com
orientações para melhoria dos negócios, dos processos e dos controles. O ouvidor recolhe o material
para retroalimentar a gestão com oportunidades de melhoria das informações extraídas da análise das
manifestações.
Com o encarregado, o fluxo muda um pouco. Em primeiro lugar ele se orienta por leis, regulamentos
e boas práticas. Entretanto, as eventuais demandas relativas a proteção de dados, quando catalogadas,
comparadas e analisadas, também serão de grande valia para retroalimentar a organização
com insights para a melhora contínua.
As ouvidorias funcionam como “termômetro” da relação com os públicos. Cada demanda exige uma
análise de procedência e devida verificação com os normativos internos e externos, durante este
processo acontece algo similar ao processo de auditoria, ou seja, a comparação do que foi feito com
o que deveria ter sido feito, este é o primeiro passo para o tratamento da reclamação. Então é feita a
análise da procedência da reclamação ou solicitação e definida a resposta ao manifestante. A resposta
pode ou não atender ao pedido, o mais importante é que esta resposta seja clara e objetiva de forma
que a pessoa compreenda as motivações da organização, inclusive a motivação da negativa.
Depois de encerradas, as demandas são analisadas e consolidadas em relatórios gerenciais, que
findam por apontar um mapa com os focos de desconformidade e oportunidades de melhoria.
O mesmo deve acontecer com a atividade do encarregado. Cada demanda recebida leva a uma
análise de processo e, depois, quando todas são consolidadas, apontam para os processos que
precisam de revisão.
Cabe citar ainda que, no caso das ouvidorias da administração pública vale a experiência adquirida
com a Lei de Acesso à Informação 12.527/11[xi] que institui, além de outras obrigações, a
”designação de autoridade que lhe seja diretamente subordinada para, no âmbito do
respectivo órgão ou entidade, exercer as seguintes atribuições: I – assegurar o
cumprimento das normas relativas ao acesso a informação, de forma eficiente e adequada
aos objetivos desta Lei; II – monitorar a implementação do disposto nesta Lei e apresentar
relatórios periódicos sobre o seu cumprimento; III – recomendar as medidas
indispensáveis à implementação e ao aperfeiçoamento das normas e procedimentos
necessários ao correto cumprimento do disposto nesta Lei; e IV – orientar as respectivas
unidades no que se refere ao cumprimento do disposto nesta Lei e seus regulamentos”.
Embora as duas legislações tenham motivações e objetivos completamente diferentes, seus fluxos
operacionais guardam similaridades. As duas leis trazem a exigência de uma figura vinculada à
instituição que se responsabilize pelo atendimento e orientação ao usuário, que instrua a equipe
interna e faça a gestão do cumprimento das obrigações legais. Como esta atividade de acesso à
informação foi designada às ouvidorias em grande maioria das empresas da administração pública
direta e indireta, já existe uma experiência de quase dez anos que pode, e deve ser aproveitada na
construção dos fluxos do encarregado de dados.
Considerando que o direito de acesso se restringe a informações relativas à operação da máquina
pública e seus responsáveis e, no máximo, a informações sobre o próprio solicitante, algumas
práticas podem ser consideradas:
 Filtro de informações pessoais relativas a pessoas não envolvidas no processo (geralmente
realizado através de tarjamento de documentos complexos que trazem informações de
terceiros).
 Confirmação da identidade do manifestante sempre que a solicitação envolver dados
particulares.
 Orientação à equipe interna sobre a forma de selecionar e organizar as informações
solicitadas.
 Orientação ao próprio manifestante quando este não conhece os direitos das partes.

Transformação cultural

O encarregado ainda possui uma função
adicional que é a de “orientar os
funcionários e os contratados da entidade
a respeito das práticas a serem tomadas
em relação à proteção de dados pessoais”.
A GDPR fala que entre as funções do
encarregado está incluída a “sensibilização e
formação do pessoal implicado nas
operações de tratamento de dados”.
Nenhuma das duas leis fala abertamente em transformação cultural, entretanto, este é um fator
decisivo para o sucesso do sistema de proteção de dados pessoais. Na GPDR a visão de cultura
aparece nas instruções complementares emitidas pelas entidades regulamentadoras. Um exemplo é
a Guideline emitida pelo Grupo de trabalho do Artigo 29: “O EPD desempenha um papel
determinante na promoção de uma cultura de proteção de dados no seio da organização e
contribui para dar cumprimento aos elementos essenciais do RGPD…”
Na visão sistêmica da proteção de dados, não basta um treinamento rápido para as pessoas que lidam
com dados pessoais, é necessária uma profunda e consistente mudança na cultura, uma mudança que
afete todos os públicos da organização, especialmente os colaboradores. Do c-level ao pessoal da
limpeza que descarta o lixo, todos têm papel relevante na efetivação de um sistema seguro. É
necessário, como diz a GDPR, “sensibilizar” e a sensibilização acontece quando a pessoa
compreende um conceito e passa a acreditar nele como um valor inegociável.
Desta forma, o encarregado deve desenvolver uma estratégia de treinamento que englobe toda a
organização com foco em transformação de valores.
Esta função de treinamento não é inerente à atividade da ouvidoria, embora muitas assumam a
responsabilidade sobre o treinamento das equipes em temas como assédio, ética etc. De qualquer
forma, mesmo não sendo comum à ouvidoria, também não é inconsistente com a atividade.

Atendimento

Ambas as funções realizam atendimento ao público e precisam de uma estrutura apropriada que
envolve, entre outras coisas:
 canais de acesso,
 sistema de registro e acompanhamento,
 fluxo de atendimento (metodologia de comunicação com o demandante durante o processo de
solução da questão, controle de prazos etc.),
 estrutura de comunicação com as áreas internas (responsáveis por atender as questões de
ouvidoria em cada departamento),
 interpretação e análise de demandas,
 modelos de relatórios gerenciais para apoio à gestão na melhoria dos processos,
 modelos de relatórios consolidados para a alta gestão etc.
Esta estrutura exige investimentos em hardware, software, modelo de operação e gestão, equipe e
treinamento.
A Ouvidoria já vive este fluxo no dia a dia. Ela já tem equipe treinada em relações interpessoais,
sistema adequado, fluxo de comunicação interna e externa, padrões de gestão e operação e modelo
de governança. O encarregado, como uma função nova, ainda precisará planejar e implementar toda
a solução de atendimento.
Cabe um breve comentário sobre a possibilidade de levar a atividade de atendimento do encarregado
para o chamado “primeiro nível” de atendimento. O primeiro nível é o chamado SAC, que pode ser
realizado por telefonia, com atendimento direto ou gravações, já é muito comum também o uso
de chat bots. O padrão é que primeiro nível receba demandas de baixa complexidade, geralmente
aquelas questões que podem ser resolvidas com respostas simples e objetivas contidas em um script
de atendimento no primeiro contato. Quando há necessidade de pesquisa interna para resposta
posterior, o próprio SAC realiza esta ação. Quando é necessária alguma pesquisa interna, como
pesquisa a uma base legada, por exemplo, dá-se o nome de segundo nível de atendimento. O terceiro
nível, a ouvidoria, atende demandas complexas que dependem interpretação e certo nível de
negociação para solução.
Ainda não se sabe ao certo como serão as interações relativas à temática proteção de dados. Na
Europa já existem chat bots para os atendimentos mais simples. De qualquer forma, nem todos os
atendimentos terão este perfil simplificado que podem ser resolvidos de forma automatizada.
A própria GDPR fala que “Os titulares dos dados podem contactar o encarregado da
proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados
pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento”,
vejam que a lei abre um espaço para outras demandas que ultrapassam aquelas perguntas já
formuladas nos capítulos realtivos aos direitos dos titulares. Embora a LGPD não traga esta abertura
de forma explícita, os princípios da lei, por si só, já conferem ao titular o direito de se manifestar
sobre qualquer tema relacionado com o tratamento de seus dados, independentemente da lista finita
do Capitulo III da LGPD.
Alguns fatores colaboram para criar uma certa complexidade no atendimento. O Brasil não tem
cultura em proteção de dados o que vai exigir esforço da própria organização no esclarecimento dos
cidadãos, talvez seja preciso haver interação humana no momento de formulação das demandas.
Depois, devido à própria complexidade do tema, as respostas precisam de um viés técnico que
realmente atenda o solicitado, em conformidade com as exigências da lei.
Nas ouvidorias, devido ao compromisso com a realização de uma comunicação efetiva, muitas vezes
é preciso orientar o demandante no momento da manifestação. Seja por desconhecimento dos
modelos do negócio ou mesmo por dificuldade de expressão, é comum o cidadão precisar de
esclarecimentos no momento de registrar a demanda. Nestes casos a ouvidoria auxilia o demandante.
O encarregado também terá a missão de esclarecer o titular sobre seus direitos e ajuda-lo na devida
qualificação do pedido, também vai se articular com as unidades da organização em busca das
soluções, consolidar tudo e responder de forma objetiva e em linguagem compreensível.
Com certeza esta prática poderá ser adotada como uma boa prática que beneficia ambas as partes. O
titular passará a conhecer melhor seus direitos e a forma de se posicionar e a empresa, além de
receber uma demanda clara e de fácil compreensão, também terá a seu favor a comprovação de um
atendimento qualificado reafirmando a boa-fé com que trata a matéria.
Seja qual for o formato de atendimento escolhido pela organização, humano ou automatizado,
sempre haverá casos que exigem interação humana seja na recepção ou na resposta à demanda. Me
atrevo a arriscar um palpite: estes casos serão mais comuns do que se imagina, em especial nos
primeiros tempos, pois o atual estágio de maturidade das organizações ainda não permite uma
modelagem automatizada realmente eficaz. Só um palpite…
A formulação da resposta exige uma habilidade característica da ouvidoria: a linguagem cidadã. A
ouvidoria fala com todos os tipos de público. Em duas horas de trabalho, o profissional de ouvidoria
redige uma mesma resposta em três formas diferentes para se fazer entender adequadamente por três
pessoas de variadas formações e capacidades cognitivas. Esta é a linguagem cidadã, aquela que, de
fato, comunica a mensagem, levando seu texto ao patamar necessário para que o interlocutor
efetivamente compreenda o conteúdo.
Um sistema de proteção de dados consistente não comporta respostas evasivas ou complexas, que
deixem para o titular a responsabilidade de conseguir interpretar a mensagem. É obrigação da
organização se fazer entender e este será um dos grandes desafios da LGPD. Trata-se
da transparência que é um princípio da Lei de Proteção de Dados e um valor já arraigado na
instituição ouvidoria.
Sobre a estrutura de atendimento, há dois itens a serem observados:

  1. Dentro do sistema de proteção de dados existe uma exigência, mesmo que não explicita, de
    que o titular tem o direito de fazer contato com o encarregado de forma fácil. Então, será
    preciso abrir um canal específico para a entrada das manifestações relativas à LGPD, mesmo
    que o sistema de gestão seja o mesmo. Esta prática ainda confere facilidade para o controle
    de prazos e para a governança das manifestações. É recomendável que todos da organização
    saibam reconhecer uma manifestação relativa a proteção de dados e sabiam como instruir o
    manifestante a se dirigir ao canal adequado.
  2. O sistema de gestão de manifestações precisará ser adaptado para permitir o controle das
    demandas sobre proteção de dados, ou seja, canal de recebimento, classificação, árvore de
    distribuição, forma de registro da autenticação de identidade, controle de prazos etc. precisam
    estar adequados às exigências legais e à política corporativa de privacidade da organização.

Equipe de apoio

A depender do tamanho da empresa e da natureza do negócio, uma única pessoa poderá não
conseguir dar conta de tudo o que precisa ser feito. Isto vale para o ouvidor e para o encarregado.
As leis de proteção de dados trazem a obrigatoriedade de a organização disponibilizar os recursos
adequados ao exercício da atividade, o que envolve recursos humanos e materiais.
Fica a observação de que a temática proteção de dados ainda não é intuitiva ou corriqueira, então
cabe ao encarregado garantir à sua equipe o conhecimento adequado para compreender e interpretar
as demandas. Diria mais, a equipe do encarregado deveria ter conhecimento e perfil para auxiliar no
atendimento às áreas internas, tirar dúvidas, dar orientações básicas e colaborar com no processo de
transformação cultural.
As equipes de ouvidoria já são treinadas em mediação, ética e conflitos de interesses, teríamos mais
uma disciplina na lista de conhecimentos. Esta equipe que já tem a consciência de que o cidadão do
outro lado da linha é um ser humano com direitos, vai aprender que existe mais um direito, o direto à
autodeterminação informativa e todos os dele decorrentes conforme expresso ao longo do texto da
LGPD.
Geralmente as ouvidorias possuem “pontos focais” em cada departamento da organização. São as
pessoas indicadas para receber as manifestações encaminhadas àquela área, articular a resposta
adequada e devolver para a ouvidoria. Estas pessoas são responsáveis por organizar o conteúdo da
resposta e gerenciar os prazos. Esta prática também será necessária para o encarregado, pois nem
sempre é possível saber exatamente quem é responsável por um processo, além de haver o risco de
não cumprimento dos prazos.
Os pontos focais que já atendem a ouvidoria podem não ser os melhores para atender a temática da
proteção de dados. Será preciso identificar elementos com o perfil adequado e treiná-los com certa
profundidade para que atendam de forma eficaz às demandas. Além de manifestações de titulares, o
encarregado também precisará de apoio o acompanhamento da conformidade, para organização de
treinamentos e outras atividades. Então, esta pessoa seria quase como a figura do compliance
champion já utilizado por algumas empresas, misturado com um facilitador de ouvidoria.

Comitê de apoio

Para ambas as funções, é recomendável contar com a colaboração de comitês de apoio para troca de
conhecimentos, aconselhamento e decisões mais importantes e delicadas. A ouvidoria em geral já
conta com o apoio de um Comitê de Ética, modelo adotado por muitas organizações.
Já o encarregado, pode compor suas decisões em articulação com um comitê composto, de
preferência, por membros com formação multidisciplinar e profundo conhecimento do negócio, de
ética, direito humanos e proteção de dados etc.
A presença de um comitê, em ambos os casos, diluiu o personalismo das decisões e colabora para
visão global o que, por si só, já tende a gerar mais equilíbrio para as relações.
Conhecimentos multidisciplinares já se mostram uma questão quase pacificada no exercício da
proteção de dados, ela precisa estar presente no comitê de apoio, na equipe do encarregado e/ou na
sua própria formação.

Autonomia técnica e administrativa

As duas posições exigem autonomia e não podem ser penalizadas por atos relativos ao cumprimento
de suas funções. Ambas têm a necessidade de atuar com total independência técnica e administrativa.
A questão da subordinação esteve em pauta durante as discussões da construção da LGPD, mas junto
com o parágrafo 4º do artigo 41, evento já citado anteriormente. Veja abaixo a redação integral do
texto do parágrafo 4º com todos os seus incisos:
“§ 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídicoregulatório e ser apto a prestar serviços especializados em proteção de dados, além do
disposto neste artigo, a autoridade regulamentará:
I – os casos em que o operador deverá indicar encarregado;
II – a indicação de um único encarregado, desde que facilitado o seu acesso, por empresas
ou entidades de um mesmo grupo econômico;
III – a garantia da autonomia técnica e profissional no exercício do cargo.”
(grifo nosso)
Razão do veto, como já foi comentado, se referiu exclusivamente ao tema do caput que abordava a
exigência de conhecimento “jurídico regulatório”:
“A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento
jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma
exigência com rigor excessivo que se reflete na interferência desnecessária por parte do
Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como
ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por
restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.”
O questionamento que levou ao veto do parágrafo não estava relacionado com a questão da
autonomia, mas como este parágrafo tratava de mais de um tema, o veto que se referia
exclusivamente ao caput, acabou carregando os três incisos abaixo. Desta forma, a obrigatoriedade
da autonomia desapareceu do texto da lei.
Embora não conste na LGPD de forma explícita, a autonomia é essencial para a lógica de um sistema
de proteção de dados realmente eficaz, então, aparentemente, a ANPD deverá ter esta interpretação
conceitual em sua abordagem.
O Regulamento europeu cita no item 3 do artigo 38 que o encarregado de dados não recebe
instruções técnicas com relação ao exercício de sua função, não pode ser destituído nem penalizado
por de exercer as suas funções e se reporta diretamente ao mais alto nível da direção sem
subordinação direta à gestão operacional da organização.
Reforçando a ideia, o item 3.4 da Guideline do Grupo de Trabalho do Artigo 29, traz
recomendações específicas sobre a necessidade de independência do encarregado de dados e termina
o capítulo com a seguinte afirmação: …”quanto mais estável for o contrato do encarregado e
quanto mais garantias existirem contra a destituição abusiva, maior será a probabilidade
de ele atuar de forma independente. Por conseguinte, o GT 29 mostra-se favorável a que
as organizações envidem esforços neste sentido”.
A Controladoria Geral da União, CGU defende, no Guia de Orientação para Gestão de
Ouvidoria[xii], que a ouvidoria esteja diretamente subordinada dirigente máximo na hierarquia da
organização pública: “O posicionamento hierárquico em alto nível, dentro da estrutura
organizacional, justifica-se pela natureza estratégica da ouvidoria, que precisa ter
assegurada a sua autoridade administrativa perante às demais autoridades internas e
externas para articular, coordenar e intermediar as relações institucionais junto aos seus
usuários; muitas vezes conflituosas ou com alto grau de possiblidade de instalação de
conflito”.
Esta visão é intuitiva para as empresas da esfera privada sempre que a organização tem, de fato,
compromisso com a eficácia da atividade da Ouvidoria. Para a ABO, “o ouvidor/ombudsman tem
como dever viabilizar os legítimos interesses dos cidadãos, seja em órgãos da
administração pública – em quaisquer dos seus níveis e poderes – seja em uma empresa
privada, atuando, sempre, com autonomia para apurar as questões que lhe forem
apresentadas e independência para manifestar o que entender cabível à instituição a qual
é vinculado”[xiii].
Assim fica clara a necessidade que ambas as funções devem ter a garantia de atuar tecnicamente sem
pressão e com a certeza de que não terão qualquer prejuízo em razão de suas decisões. A questão do
posicionamento no organograma reforça a isenção nas decisões técnicas, pois afasta tanto o ouvidor
quanto o encarregado da influência hierárquica.

Auditoria e compliance

Caso a ouvidoria da entidade seja o canal receptor de denúncias, é prudente instituir um fluxo
diferenciado para eventuais reclamações sobre o próprio ouvidor/encarregado. O fluxo a ser adotado
em nada difere do fluxo já previsto nos padrões de averiguação definidos para as funções que
compõem o arcabouço de conformidade das organizações. Pode ser adotado o rito já presente em
qualquer instituição quando há suspeita sobre ouvidores, compliance officers ou mesmo auditores.
Qualquer denúncia ou reclamação deste tipo deve ser endereçada a outras instâncias que podem ser o
comitê de ética, funções pares ou mesmo a alta administração.
Outra questão a ser avaliada é a necessidade de auditoria da atividade do encarregado, da mesma
forma que há necessidade de auditar o trabalho da ouvidoria e de toda a organização, ele deve ser
submetido à auditoria com igual, ou talvez maior intensidade, do que os outros departamentos. O tipo
de negócio e a natureza dos dados tratados pela empresa vão definir o nível de risco envolvido e a
frequência considerada adequada.
É interessante observar que a GDPR coloca o encarregado na posição de auditor das outras áreas que
tratam dados, entretanto o trabalho do encarregado carece de auditoria também. A execução de
auditorias constantes será uma garantia para a empresa e para a pessoa que atua na função.

Responsabilização

O documento “orientações sobre os encarregados de proteção de dados” do Grupo de Trabalho do
Artigo 29 responde à seguinte pergunta:

  1. O EPD é pessoalmente responsável pelo incumprimento dos requisitos de proteção de
    dados?
    Não. Os EPD não são pessoalmente responsáveis pelo incumprimento dos requisitos de
    proteção de dados. Compete ao responsável pelo tratamento ou ao subcontratante
    assegurar e poder comprovar que o tratamento respeita o Regulamento aplicável. O
    cumprimento das normas de proteção de dados é da competência do responsável pelo
    tratamento ou do subcontratante.
    A lei brasileira também considera que o responsável sempre é o agente de tratamento, qualquer
    empregado ou preposto fala em nome a organização e não terá responsabilidade sobre os atos da
    instituição que representa.
    Tanto na lei europeia quanto na brasileira, o encarregado de dados pessoais não será
    responsabilizado pela sua atuação. Sua responsabilidade se restringe à responsabilidade civil, aquela
    que considera uma ação ou omissão seja motivada por negligência, imprudência ou imperícia. Claro
    que também será responsabilizado por qualquer situação que em que seja caracterizada má fé.
    É essencial que o encarregado mantenha registro e rigorosa governança sobre todos os seus fluxos de
    trabalho, pois sua proteção na relação com o empregador estará na comprovação de que agiu com a
    devida diligência nas instruções que proferiu.
    Com relação ao ouvidor, não existe um eventual risco pelo exercício da função, entretanto ele
    também pode ser responsabilizado civilmente uma ação ou omissão seja motivada por negligência,
    imprudência ou imperícia, assim como por qualquer ato de má fé.

Natureza dos cargos

Outro fator que deve ser considerado é a natureza dos cargos de encarregado e ouvidor. Se definidos
como gestores, ambos os cargos podem estar sujeitos à remuneração variável em função dos
resultados, o que representa risco de conflito de interesses. Se há possibilidade de ganho direto com o
bom desempenho da organização, tanto o ouvidor quanto o encarregado podem se sentir inclinados a
não ter a devida orientação técnica sempre que esta implique em despesa, investimento ou eventual
prejuízo com consequências diretas sobre o resultado operacional. É prudente que não haja qualquer
tipo de bonificação por resultados a fim de evitar riscos.
Além da questão de remuneração variável também deve ser observada a posição de ser ou não ser
gestor ou decisor. A ideia é bem exemplificada no guia da ICO, autoridade de proteção de dados do
Reino Unido[xiv]:
“O gerente de marketing planeja uma campanha de publicidade e define o perfil de
clientes que deseja atingir, os métodos de segmentação, as informações pessoais que
delimitam este público. Este gerente de marketing não pode ser o DPO, pois a tomada de
decisão poderá levar a um conflito de interesses entre os objetivos da campanha e as
obrigações de proteção de dados.”
A mesma lógica se aplica à função do Ouvidor. Seria incoerente o ouvidor ser responsável pelo
departamento de recursos humanos e receber uma reclamação de um empregado. Sempre é bom
utilizar a velha máxima utilizada nas auditorias: “quem faz, não audita”. Esta máxima é válida
também para a ouvidoria e para a proteção de dados, quem faz, não supervisiona.
Claro que ambos os cargos possuem em si mesmos algum nível de gestão, visto terem equipes e
processos sob suas responsabilidades. O gestor de uma ouvidoria realiza uma gestão operacional
relativamente restrita. Ele controla o as atividades da ouvidoria, mas não se envolve em decisões
relacionadas ao negócio. Neste ponto o encarregado e o ouvidor possuem um formato similar,
nenhum deles participa de processos decisórios relacionados aos processos internos e aos resultados
da organização, suas decisões administrativas estão restritas ao operacional dos departamentos.
Caso seja necessário que a organização defina que seu encarregado vai realmente acumular funções,
é essencial identificar e catalogar os conflitos de interesses e implementar as devidas medidas para
mitigar os riscos.
Uma opção interessante é submeter as decisões relativas ao tratamento de dados tanto da ouvidoria
quanto do encarregado ao comitê multidisciplinar. O comitê pode ter uma função tanto de orientar
quanto de validar decisões do encarregado e do ouvidor quando identificados possíveis conflitos.
Cabe como alerta uma recente decisão da autoridade de proteção de dados da Bélgica envolvendo o
acúmulo das funções de compliance officer e encarregado de dados, como nos conta Luís Fernando
Prado Chaves[xv]:
“Após um incidente de segurança, a Autoridade daquele país realizou investigação sobre
as práticas da empresa em matéria de proteção de dados e concluiu pela impossibilidade
de cumulação das funções de DPO e head de compliance, pois as rotinas de compliance
demandam tratamento constante e relevante de dados pessoais, o que inviabilizaria a
supervisão independente de tais atividades por parte do DPO por se tratar da mesma
pessoa. Ainda, tal cumulação de cargos, segundo a Autoridade Belga, revela um
“significante grau de negligência” por parte da empresa investigada, o que culminou na
aplicação da multa de 50 mil euros, que, a primeira vista, pode não parecer grande coisa,
mas é a maior sanção administrativa imposta até agora pela Autoridade Belga”…
Sim, a ouvidoria também “demanda tratamento constante e relevante de dados pessoais”. O acúmulo
de funções sempre será um risco no momento de designar o encarregado, entretanto esta decisão foi
a única neste sentido até o momento e a lei europeia realmente permite que haja acúmulo de funções:
“O encarregado da proteção de dados pode exercer outras funções e atribuições. O
responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições
não resultam num conflito de interesses”.
O alerta já foi dado, então cabem os melhores esforços para minimizar riscos de conflitos de
interesses, tanto quanto os registros que justifiquem a decisão sobre o acúmulo de funções e medidas
de mitigação de riscos. Lembremos sempre do princípio da prestação de contas, não basta ter boa-fé,
é necessário comprovar que teve a boa-fé.

Acúmulo de funções

A GDPR traz a possibilidade de o DPO exercer outras atribuições, desde que a organização assegure
que não haja conflito e interesse. Já a lei brasileira não traz referência à questão de acúmulo de
funções.
O que precisa ser observado é descrito pelo GT do Artigo 29: “A ausência de conflitos de
interesses está intimamente ligada ao requisito de independência dos EPD. Embora os
EPD estejam autorizados a desempenhar outras tarefas, só podem ser incumbidos de
outras funções e atribuições se estas não derem origem a conflitos de interesses. Por
conseguinte, o EPD não pode, em especial, exercer um cargo dentro da organização que o
leve a determinar as finalidades e os meios do tratamento de dados pessoais. Devido à
estrutura organizacional específica de cada organização, este aspeto deve ser apreciado
caso a caso”.
No caso de optar pelo acúmulo de funções, a organização deve observar os fatores de risco e as
medidas mitigadoras.
Primeiro deve observar se a natureza e o tipo negócio da organização comportam o acúmulo de
funções sem que isto represente aumento de risco para os direitos fundamentais dos seus públicos.
Esta avaliação pode ser feita através de perguntas que demonstram o nível de risco dos tratamentos
realizados, como os seguintes exemplos:
 A organização faz parte da administração pública?
 A organização trata dados sensíveis ou danos de crianças e adolescentes?
 A atividade principal necessita de dados pessoais, como, por exemplo, um serviço médico
que se viabiliza através da identificação do paciente?
 A atividade principal é baseada em dados pessoais, como um databroker ou um boreau de
crédito?
 O negócio envolve monitoramento de comportamento e/ou profiling?
 Possui dados tratados com base no Legítimo Interesse?
Caso entenda que o contexto geral aceita o acúmulo de funções sem acréscimo de risco ao titular,
deve, então, analisar os temas já abordados ao longo do texto como subordinação, autonomia técnica,
acessibilidade e disponibilidade, conhecimentos técnicos, perfil comportamental, recursos etc. Após
toda esta análise, é importante definir as medidas para mitigação dos riscos, assim como as
necessárias políticas internas e sistemas de governança.
É essencial manter o registro de todo o processo que levou à decisão sobre o acúmulo de funções,
com todas as análises realizadas e salvaguardas adotadas. Trata-se do princípio da responsabilização.
Cabe à organização comprovar que foi diligente com relação à sua decisão e que teve boa-fé ao
realizar a análise necessária.

Enfim, o ouvidor pode ser o encarregado?

A longa reflexão acima não tem a pretensão de responder à pergunta de forma definitiva, até porque
ainda não há respostas definitivas para as questões relativas à nova temática da proteção de dados.
Apenas uma questão é certa: a situação mais segura é designar um encarregado exclusivo, em
especial pelo nível de importância que a proteção de dados deve ter para as organizações. Por outro
lado, na vida real isto nem sempre será possível.
Caso a organização opte pelo acúmulo de funções, o ouvidor é uma opção viável, embora não seja a
primeira que vem à mente. Se este for o caso, a organização deve tomar todas as cautelas necessárias
para avaliar e registrar o histórico da decisão.
Não há modelos padronizados, nem sugestões válidas para todos os casos, cada organização vai
desenvolver o modelo mais adequado para sua situação financeira e operacional e mais aderente a
seu apetite ao risco.