LGPD E A NECESSIDADE DE UMA REGULAMENTAÇÃO PARA O ESPORTE

Fernanda Soares[1]

Membro Filiada ao Instituto Brasileiro de Direito Desportivo

 

A LGPD é um marco na legislação brasileira já que é a primeira vez que o país conta com uma legislação dedicada especificamente à proteção de dados pessoais. A Lei constrói um arcabouço legislativo da matéria de proteção de dados que, ao colocar o titular de dados pessoais no palco da legislação, atribui ao agente de tratamento deveres a serem cumpridos a fim de salvaguardar o direito fundamental de proteção aos dados pessoais.

No exercício das suas atividades, as entidades desportivas realizam tratamento massivo de dados pessoais, de diferentes tipos de titulares, incluindo dados pessoais sensíveis, aqueles que gozam de uma proteção especial da LGPD dada a gravidade do impacto de eventual incidente com tais dados pessoais ao titular.

As sanções administrativas previstas na LGPD podem ser aplicadas às entidades desportivas em razão do descumprimento de qualquer preceito da Lei; não somente o famoso vazamento de dados pessoais pode ser punido à luz da LGPD. O vazamento de dados pessoais é um incidente de dados pessoais passível de punição (certamente aquele que tem o potencial de causar maior dano ao titular), mas não é o único.

A entidade desportiva pode ser punida por ofensa à um princípio eventualmente não observado em determinada atividade de tratamento. Ao tecer comentários sobre os princípios da finalidade e da adequação (LGPD, artigo 6º, incisos I e II, respectivamente), a FIFA os exemplifica com a seguinte situação: “se os dados para a compra de um ingresso de evento foram coletados para a única finalidade de emissão do referido bilhete e o comprador não foi informado o uso posterior de seus dados pessoais, esses dados pessoais não podem ser usados para outros fins, por exemplo, a revenda a um patrocinador oficial para fins de marketing[2]”.

Assim, a entidade desportiva que coletar dados pessoais informando ao titular que o faz com a finalidade de emissão de um ingresso (finalidade perfeitamente alinhada à base legal da execução de contrato, prevista na LGPD no artigo 7º, inciso V, já analisada neste estudo) e proceder a um tratamento secundário de tais dados pessoais (como o marketing, por exemplo, que também é hipótese válida para o tratamento de dados pessoais prevista no artigo 7º, inciso IX – legítimo interesse do controlador), tal entidade estará em desacordo com a LGPD e estará, portanto, passível de sofrer uma sanção. Isso porque, mesmo que ambos os tratamentos estejam sustentados por uma das bases legais que autorizam tais tratamentos, o segundo tratamento foi feito sem a observância dos princípios da finalidade e da adequação.

Caso similar ao exemplo acima ocorreu com a empresa Easylife Ltd, multada pela autoridade inglesa de proteção de dados pessoais (o Information Commissioner’s Office – ICO) em £ 1.350.000,00 (R$8.475.000,00 reais, aproximadamente.)[3].

A Easylife é um varejista de catálogo que vende itens domésticos, bem como serviços e produtos em seus clubes de saúde, automóveis e jardinagem. A investigação da ICO descobriu que, quando um cliente comprava um produto do catálogo do Easylife Health Club, a empresa fazia suposições sobre sua condição médica e, em seguida, comercializava produtos relacionados à saúde para eles sem seu consentimento.

Assim, se uma pessoa comprasse um abridor de potes ou uma bandeja de jantar (fornecendo, assim, seus dados pessoais com a finalidade específica de execução do contrato de compra e venda), a Easylife, presumindo que essa pessoa poderia sofrer de artrite (uma inflamação das articulações que causa dor e rigidez), realizaria um tratamento secundário dos dados pessoais entrando em contato com tal pessoa para comercializar adesivos de glucosamina para articulações.

Dos 122 produtos do catálogo do Health Club da Easylife, 80 itens foram considerados ‘produtos gatilho’. Uma vez que esses produtos fossem adquiridos, a Easylife traçaria o perfil do titular para direcioná-lo com um item relacionado à saúde.

A ICO descobriu que o perfil significativo dos clientes e o tratamento “invisível” de dados de saúde ocorreram. A ICO denominou o tratamento de ‘invisível’ porque as pessoas não sabiam que a empresa estava coletando e usando seus dados pessoais para essa finalidade, o que viola os princípios da norma de proteção e dados. Nas palavras de John Edwards, comissário da ICO:

A Easylife estava fazendo suposições sobre a condição médica das pessoas com base em seu histórico de compras sem o conhecimento delas e, em seguida, vendia um produto de saúde – isso não é permitido. O uso invisível dos dados das pessoas significava que as pessoas não conseguiam entender como seus dados estavam sendo usados e, em última análise, não podiam exercer seus direitos de privacidade e proteção de dados. A falta de transparência, combinada com a natureza intrusiva do perfil, resultou em uma grave violação dos direitos de informação das pessoas[4]. (ICO, 2022, online) (grifo nosso).

A multa, frise-se, é a sanção mais frequentemente aplicada pelas autoridades europeias de proteção de dados pessoais[5]; é esperado que cenário similar seja observado no Brasil, já que a LGPD é fortemente baseada nas normas europeias de proteção de dados pessoais, notadamente o Regulamento Geral de Proteção de Dados, o GDPR.

Assim, é possível presumir que às entidades desportivas serão aplicadas sanções pecuniárias em razão de eventuais incidentes com dados pessoais, ao menos no primeiro momento.

Foi a mesma sanção de multa que foi aplicada à Real Federação Espanhola de Futebol, entidade máxima do esporte na Espanha. A entidade desportiva foi multada pela Agência Espanhola de Proteção de Dados em € 200.000 (aproximadamente R$ 1.163.000,00) por divulgar o áudio de uma reunião realizada entre a Federação, representantes da La Liga (a primeira divisão da liga espanhola de futebol profissional) e representantes da Associação de Futebolistas Espanhóis (AFE)[6]. A decisão da Agência Espanhola de Proteção de Dados (AEPD) baseou-se no fato de que os participantes da reunião não forneceram consentimento expresso para a gravação da reunião, tampouco para a sua posterior divulgação[7].

Ainda assim, a sanção pecuniária não é a maior das ameaças às entidades desportivas. Lamentavelmente, é provável que uma eventual multa aplicada pela ANPD seja apenas “mais uma” dívida das entidades desportivas. À título ilustrativo, e voltando as atenções ao futebol, somente as dívidas tributárias dos 60 clubes presentes nas três principais divisões do Campeonato Brasileiro de 2021 somam quase R$ 1 bilhão em dívidas abertas com a União[8].

Sanções pecuniárias são, eventualmente, pagas, negociadas, perdoadas. O impacto de uma multa pode ser considerável para as atividades de uma entidade desportiva, mas outras sanções podem causar impacto ainda maior. Há de se ressaltar o potencial impacto de uma sanção de publicização da infração, por exemplo. O dano reputacional que pode advir de tal sanção pode vir a ser sentido durante anos, já que o mercado como um todo perde a confiança no agente de tratamento que frequentemente se envolve em incidentes com dados pessoais.

No caso das entidades de prática desportiva, contudo, é razoável assumir que um torcedor não deixará de torcer em razão do dano reputacional de um clube causado pela publicização de uma infração com dados pessoais. A despeito de este ser apenas uma parcela do impacto de um dano reputacional, é relevante destacar que é possível ao menos uma relativização do impacto desta sanção.

Contudo, na hipótese de que, ainda que a entidade desportiva acumule as multas eventualmente aplicadas e faça pública a sua infração sem maiores impactos no exercício da sua atividade, certamente não será possível dizer o mesmo sobre o impacto de uma eventual proibição do exercício de atividades relacionadas a tratamento de dados pessoais.

Relevante reiterar que a sanção de proibição do tratamento de dados pessoais só poderá ser aplicada após já ter sido imposta ao menos uma das seguintes sanções: multa simples, multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais a que se refere a infração. Além disso, órgãos e entidades com competência sancionatória aos quais as entidades desportivas estiverem submetidas deverão ser ouvidas previamente.

Com honrosas exceções, as entidades desportivas brasileiras não possuem estrutura organizacional que permite descartar ou ao menos minimizar a possibilidade da ocorrência de incidentes com dados pessoais e a consequente aplicação das penalidades previstas na LGPD. Persistindo a ocorrência das infrações, certamente a ANPD aplicará sanções rigorosas, sendo a mais grave delas a proibição do tratamento com dados pessoais.

Uma vez proibidas de tratar dados pessoais, as entidades desportivas não terão alternativa a não ser a interrupção das suas atividades. Não será possível a realização de partidas, já que para viabilizar o evento desportivo é necessário o tratamento de dados pessoais de diversos tipos de titulares (atletas, comissões técnicas, colaboradores das entidades, torcedores etc.). Não será possível o tratamento de dados pessoais dos atletas para fins de saúde; não será possível a transferência internacional de dados pessoais para fins de transferência do registro de atletas; não será possível o tratamento de dados pessoais para qualquer tipo de atividade.

Não há, pois, cenário no qual é possível conceber a continuidade das atividades da entidade desportiva sem o tratamento de dados pessoais. Para mitigar a possibilidade de que tal ameaça se concretize, é indispensável que seja realizada uma regulamentação específica para o esporte.

O legislador, ao aprovar o texto final da Lei Geral de Proteção de Dados, reconheceu a importância de conceber regulamentação específica para diferentes setores da economia. Há na LGPD previsão clara de que os agentes de tratamento podem formular suas regras de boas práticas e de governança sobre proteção de dados pessoais, de forma isolada ou por meio de associações[9]; tal previsão está no artigo 50 da LGPD[10].

É também neste sentido o entendimento da ANPD ao dispor sobre a forma pela qual a adoção de boas práticas e governança impactará na dosimetria da multa e na adoção de outras sanções previstas na LGPD[11]. Entende a Autoridade Brasileira que a adoção de boas práticas e governança deve ser considerada como um atenuante ou um agravante no cálculo do valor da multa.

Assim, a ANPD sugere que a adoção das políticas de boas práticas e governança não seja considerada como um fator binário no cálculo da multa, mas como um fator que permite uma graduação. Para a Autoridade Brasileira, é necessário realizar uma análise do caso concreto, já que “o agente pode adotar boas práticas para alguns aspectos do tratamento de dados pessoais, mas não para outros. Alternativamente, o agente pode ter uma política de boas práticas e privacidade completa, mas implementá-la de fato em apenas alguns aspectos”.

Infere-se, portanto, que havendo a autorregulação no sistema desportivo em matéria de proteção de dados pessoais, a ANPD levará em conta a adoção das medidas previstas quando do cálculo de eventual multa a ser aplicada às entidades desportivas que cometerem infrações às normas previstas na LGPD.

Em relação à aplicação das demais sanções (para além das multas), ANPD considerará a adoção das políticas autorregulatórias ao escolher a sanção, de forma similar ao que é feito pela autoridade australiana, que considera esse fator ao estabelecer outras sanções, inclusive como obrigações de fazer.

Observa-se, portanto, que há na LGPD o incentivo expresso à autorregulação no artigo 50 da Lei e há, adicionalmente, o reconhecimento de tal incentivo pela ANPD quando esta considera a adoção das medidas autorreguladas como critérios na aplicação de sanções aos agentes de tratamento que cometerem infrações às normas previstas na LGPD.

Conhecedor da importância da autorregulamentação em matéria de proteção de dados pessoais, o Conselho Nacional de Justiça, o CNJ, publicou em agosto de 2022 o Provimento N° 134[12], que “estabelece medidas a serem adotadas pelas serventias judiciais em âmbito nacional para o processo de adequação à Lei Geral de Proteção de Dados Pessoais”.

O sistema desportivo apresenta uma complexidade de relações envolvendo o tratamento de dados pessoais que, certamente, enseja a necessidade de autorregulamentação, assim como feito no âmbito das serventias judiciais.

Uma delas é a complexidade no estabelecimento de qual agente de tratamento é o operador e o controlador em determinadas situações. Operações de transferência de atletas, operações rotineiras para a realização de partidas, operações que envolvem a relação de entidades de prática desportiva e torcedores são exemplos de relações complexas que desafiam a identificação do controlado e do operador de dados pessoais. Assim como feito pelo Provimento N° 134 no caso das serventias extrajudiciais, uma regulamentação específica para o esporte esclareceria esta questão.

Outro aspecto que o Provimento N° 134 esclarece é em relação ao relatório de impacto à proteção de dados pessoais. Trata-se de documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

O Provimento N° 134 prevê que as serventias classe I e II poderão adotar modelo simplificado de relatório de impacto conforme orientações da Comissão de Proteção de Dados – CPD/CN/CNJ para a simplificação do documento e que as serventias classe III devem adotar o modelo completo do relatório de impacto.

É importante que este aspecto também seja esclarecido em eventual regulamentação específica para o esporte. O sistema desportivo comporta entidades desportivas de diferentes tamanhos, cujas disparidades são, entre outras, refletidas na quantidade de operações de tratamento de dados pessoais. Para algumas entidades desportivas, não justificará a necessidade de elaboração do relatório de impacto, mas isso deve estar devidamente regulamentado.

A disparidade do tamanho das entidades desportivas também impactará na necessidade de nomeação do encarregado pela proteção de dados pessoais. O encarregado é um profissional chave em relação à proteção de dados pessoais, cujas atribuições dele vão além de ser a ponte entre controlador/operador, titulares e Autoridade Nacional de Proteção de Dados, cabendo a este também orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

É possível que algumas entidades desportivas não sejam obrigadas a indicar o encarregado pelo tratamento de dados pessoais; os agentes de pequeno porte já não têm mais esta obrigação desde a publicação da Resolução CD/ANPD n° 02/2022[13]. Estariam algumas entidades desportivas contempladas no conceito de agente de pequeno porte[14] para fins de não estarem obrigados a indicar um encarregado?

O Provimento N° 134 orienta as serventias extrajudiciais em relação ao encarregado em seu artigo 10[15]; tais orientações também são necessárias às entidades de prática desportiva; por exemplo, uma contratação conjunta do encarregado poderá significar uma economia importante para tais entidades.

Outra notável determinação do Provimento N° 134 envolve dados pessoais de crianças, aspecto que também é de suma importância para as entidades desportivas, especialmente aquelas que atuam com o esporte na manifestação do desporto de formação.

É relevante a determinação do Provimento N° 134 no sentido de determinar a base legal do consentimento para dados pessoais de crianças e uma regulamentação para o sistema desportivo neste sentido também é importante.

Isso porque a própria LGPD não é clara quando faz menção à proteção de dados pessoais de crianças e adolescentes em seu artigo 14, permitindo três interpretações diferentes sobre o previsto, impossibilitando a certeza sobre as bases legais válidas para o tratamento de crianças e adolescentes: i) a única base legal válida para tratar dados pessoais de crianças e adolescentes é o consentimento, conforme disposto no §1º do artigo 14, ou; ii) é possível tratar dados pessoais de crianças e adolescentes sob as hipóteses previstas no artigo 11 da LGPD, já que tratam-se de dados pessoais sensíveis, ou; iii) não há restrição para a utilização de qualquer base legal prevista na LGPD (tanto no artigo 7º quanto no artigo 11), desde que observado o melhor interesse da criança e do adolescente, já que não há previsão no artigo 14 quanto a definição expressa de que dados pessoais de crianças e adolescentes são dados pessoais sensíveis.

Relevante destacar que a ANPD já considerou que o tratamento de dados pessoais de crianças e adolescentes é critério de classificação de tratamento de dados de alto risco na Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022, que regulamenta LGPD para agentes de tratamento de pequeno porte.

Há de se ressaltar que a determinação de que a atividade com dados pessoais de crianças e adolescentes é uma atividade de risco atrai a incidência da responsabilidade civil objetiva. Isso porque o Código Civil Brasileiro prevê, em seu artigo 927, que há “obrigação de reparar o dano, independente de culpa”, “quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem”.

É dizer, portanto, que entidades desportivas que atuam com o esporte na sua modalidade de formação, tratando dados pessoais de crianças e adolescentes, serão responsáveis por danos patrimoniais, morais, individuais ou coletivos causados em razão do exercício da atividade de tratamento, independentemente de culpa.

A autorregulamentação, como frisado neste artigo, é incentivada pela própria LGPD. Ademais há setores da economia que perceberam a necessidade de elaboração de normas específicas em matéria de proteção de dados, como no caso dos cartórios com a publicação do Provimento N° 134 pelo Conselho Nacional de Justiça.

Uma regulamentação específica para o esporte deve ser desenvolvida por uma pluralidade de atores, envolvendo atores públicos – ANPD – e atores privados – entidades de administração e prática desportiva.

* O conteúdo do presente artigo não necessariamente representa a opinião do Instituto Brasileiro de Direito Desportivo, sendo de total responsabilidade da Autora deste texto.

[1] Mestre em Direito Desportivo pela Pontifícia Universidade Católica de São Paulo (PUC/SP). Graduada em Direito pela Pontifícia Universidade Católica de Minas Gerais (PUC/MG) e especialista em Negócios no Esporte pelo Centro de Estudos em Direito e Negócios (CEDIN/MG). Formada também em Relações Internacionais pela Pontifícia Universidade Católica de Minas Gerais (PUC/MG) e pós-graduada em Direito, Logística e Negócios Internacionais pela Pontifícia Universidade Católica do Paraná (PUC/PR). Auditora do Tribunal Pleno do TJD/MG do futebol. Procuradora geral do STJD do atletismo. Membro da Comissão de Direito Desportivo da OAB/MG e do Instituto Brasileiro de Direito Desportivo (IBDD).

[2] Em tradução livre do original: If data for the purchase of an event ticket was collected for the sole purpose of issuing said ticket and the purchaser has not been made aware of the further usage of their Personal Data, that Personal Data may not be used for other purposes, i.e. resale to an official sponsor for marketing purposes. FIFA. Data Protection Regulations. October 2019 edition. Disponível em: <https://digitalhub.fifa.com/m/787f00d0380f4120/original/dr9labmtd63ctx6o3erk-pdf.pdf>.

[3] ICO – Information Commissioner´s Office. Catalogue retailer Easylife fined £1.48 million for breaking data protection and electronic marketing laws, 2022. Disponível em: <https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/10/catalogue-retailer-easylife-fined-148-million/?utm_medium=email&_hsmi=229753256&_hsenc=p2ANqtz-954SUs7UNJz1_ILhpRWxTy_vcoSMs8RTj_zqUkMZeoWDns3iT9haA1s6um8LqtbV5mVBPS2ep2a9brnGcutpo2TjgrbA&utm_content=229753256&utm_source=hs_email>.

[4] Tradução livre do original: Easylife was making assumptions about people’s medical condition based on their purchase history without their knowledge, and then peddled them a health product – that is not allowed. The invisible use of people’s data meant that people could not understand how their data was being used and, ultimately, were not able to exercise their privacy and data protection rights. The lack of transparency, combined with the intrusive nature of the profiling, has resulted in a serious breach of people’s information rights.

Disponível em  https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/10/catalogue-retailer-easylife-fined-148-million/?utm_medium=email&_hsmi=229753256&_hsenc=p2ANqtz-954SUs7UNJz1_ILhpRWxTy_vcoSMs8RTj_zqUkMZeoWDns3iT9haA1s6um8LqtbV5mVBPS2ep2a9brnGcutpo2TjgrbA&utm_content=229753256&utm_source=hs_email Acesso em 13.11.2022

[5] De acordo com o relatório anual produzido pelo Conselho Europeu de Proteção de Dados em 2021, disponível em https://edpb.europa.eu/system/files/2022-05/edpb_annual_report_2021_en.pdf.  Acesso em 13.11.2022

[6] IUSPORT. Protección de Datos multa con 200.000€ a la RFEF por filtrar un audio con AFE y LaLiga 2022. Disponível em: https://iusport.com/art/54587/proteccion-de-datos-multa-con-200000-a-la-rfef-por-filtrar-un-audio?utm_source=dlvr.it&utm_medium=twitter  Acesso em: 13.11.2022

[7] IUSPORT. Texto íntegro de la carta de AFE a la RFEF sobre la grabación de la reunión, 2022. Disponível em: https://iusport.com/art/104395/texto-integro-de-la-carta-de-afe-a-la-rfef-sobre-la-grabacion-de-la-reunion Acesso em 13.11.2022

[8] SALES, Fernando Augusto De Vita Borges de. A sociedade anônima do futebol. Leme-SP. Mizuno. 2022. p. 16.

[9] O GDPR também traz disposição semelhante no artigo 40, que estabelece que as associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do GDPR.

[10] Seção II

Das Boas Práticas e da Governança

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (BRASIL, 2018, online).

[11] As considerações da ANPD sobre o tema estão no documento intitulado “Relatório de Análise de Impacto Regulatório – Construção do modelo regulatório previsto na LGPD com relação à aplicação de sanções administrativas e às metodologias de cálculo do valor-base das sanções de multas”, já mencionado neste estudo. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2022-06-30___air_reg_dosimetria_.pdf>.

[12] CONSELHO NACIONAL DE JUSTIÇA. Provimento N° 134/2022. Estabelece medidas a serem adotadas pelas serventias extrajudiciais em âmbito nacional para o processo de adequação à Lei Geral de Proteção de Dados Pessoais. 2022. Disponível em https://atos.cnj.jus.br/files/original1413072022082563078373a0892.pdf Acesso em 20.11.2022

[13] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Resolução CD/ANPD n °02/2022. Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte. 2022. Disponível em <https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019#wrapper>.

[14] Resolução CD/ANPD n° 02/2022. Art. 2º Para efeitos deste regulamento são adotadas as seguintes definições: I – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte,startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

[15] Provimento N° 134, CNJ. Art. 10. Deverá ser designado o encarregado pelo tratamento de dados pessoais, conforme o disposto no art. 41 da LGPD, consideradas as seguintes particularidades: I – os responsáveis pelas Serventias Extrajudiciais poderão terceirizar o exercício da função de Encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que apto ao exercício da função; II – a função do Encarregado não se confunde com a do responsável pela delegação dos serviços extrajudiciais de notas e de registro; III – a nomeação do Encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador na qualidade de responsável pela nomeação e o Encarregado; e IV – a nomeação de Encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro, quando for solicitado pelo titular dos dados pessoais. § 1º Serventias classificadas como “Classe I” e “Classe II” pelo Provimento n. 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça, poderão designar Encarregado de maneira conjunta. § 2º A nomeação e contratação do Encarregado de Proteção de Dados Pessoais pelas Serventias será de livre escolha do titular da Serventias, podendo, eventualmente, ser realizada de forma conjunta, ou ser subsidiado ou custeado pelas entidades de classe. § 3º Não há óbice para a contratação independente de um mesmo Encarregado por serventias de qualquer Classe, desde que demonstrável a inexistência de conflito na cumulação de funções e a manutenção da qualidade dos serviços prestados.