Editorial
02/03/2020Data protection officer – quem é o nosso encarregado, por Renato Opice Blum
Artigo analisa o papel do DPO, figura essencial a essa resposta a incidentes ou mesmo a consultas de titulares
O responsável pelo plano de governança em proteção de dados deve transitar em todas as áreas da empresa e interagir com os titulares dos dados
(Arte: TUTU)
Por Renato Opice Blum e Shirly Wajsbrot*
A Lei Geral de Proteção de Dados (LGPD - Lei 13.709 e alterações da Lei 13.853) está a poucos meses de sua vigência completa, em agosto de 2020. As empresas de todas as áreas e tamanhos estão trabalhando contra o tempo nos seus planos de adequação e nas suas políticas de privacidade.
Ainda assim, os vazamentos de dados poderão ocorrer, e o que será levado em consideração para os titulares de dados e a autoridade nacional de proteção de dados (ANPD), em termos de penalidades, será a rápida e eficiente resposta a essas ocorrências.
Veja também:
A importância da adaptação à LGPD
Figura essencial a essa resposta a incidentes ou mesmo a consultas de titulares é o denominado encarregado pelo tratamento de dados pessoais, previsto no artigo 41 da LGPD. Ele será o responsável por receber as reclamações e comunicações dos titulares dos dados pessoais e da ANPD, prestar esclarecimentos e tomar providências, orientar a empresa internamente sobre as práticas para proteção de dados pessoais e ainda cumprir outras funções que venham a ser determinadas por normas complementares.
A figura do encarregado foi inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR), que denomina essa função como data protection officer (DPO). Na norma europeia estão previstos alguns critérios que tornam obrigatória a nomeação de um DPO. Diferentemente disso, no Brasil, esses critérios deverão ser determinados pela ANPD, que fará essa análise de quais empresas deverão ter necessariamente um DPO/encarregado.
Para o cargo, é importante que haja a observância ao princípio de accountability, responsabilização e prestação de contas, previsto no artigo 6, inciso X da LGPD, correspondendo à obrigatoriedade de demonstração de medidas eficazes e cumprimento das normas de proteção de dados, como geração de evidências em forma de relatórios de impacto, geração de indicadores de incidentes, treinamento dos colaboradores, e outros sobre a conformidade com a LGPD.
Cabe ainda ao encarregado garantir a implementação das políticas internas criadas e a adaptação das mesmas aos novos produtos e necessidades que forem surgindo com o decorrer do tempo. A conformidade com a legislação de proteção de dados não é estática, e a empresa deve estar atenta para já prever a adequação de novos produtos, áreas ou negócios.
Quais conhecimentos deve ter o DPO e em qual área deve estar alocado são dúvidas recorrentes das empresas, que divergem sobre conhecimento jurídico ou técnico e áreas de compliance, TI ou departamento jurídico. Os conhecimentos necessários para essa função realmente são diversos e é muito difícil um único indivíduo ter toda a base necessária. Por essa razão, é interessante que o encarregado seja amparado por um grupo de trabalho composto por membros de diversas áreas, tanto técnicas quanto jurídica.
A função de DPO pode ser exercida por um funcionário da empresa ou ainda um terceirizado, o denominado DPO as a service, mas é essencial prevenir o conflito de interesses com outras funções que eventualmente o encarregado exerça simultaneamente dentro ou fora da empresa. Sendo assim, se a função recair em um funcionário da empresa, o ideal é que o mesmo esteja afastado de outras áreas que possam gerar eventuais conflitos.
Há que se esclarecer, ainda, que a responsabilização do encarregado por eventuais desconformidades da empresa não deverá ocorrer. Salvo em casos pontuais em que fique demonstrado o dolo na sua atuação. Nos demais, a responsabilização caberá ao controlador e ao operador dos dados pessoais.
Por todas essas razões e pela inovação do cargo previsto na LGPD, a função do encarregado tem sido vista como a profissão do momento. De fato, no ano da vigência da LGPD, este é o momento correto para as empresas nomearem o responsável pelo seu plano de governança em proteção de dados, que consiga transitar em todas as áreas e interagir com os titulares dos dados.
Em regra, o encarregado tem sido bem remunerado, em virtude da confiança nele depositada e pela abrangência de conhecimentos necessários à função. Existe, ainda, um novo nicho de mercado para aqueles que pretendam fornecer serviços de DPO de forma terceirizada, e que estejam capacitados para isso.
Por último, e não menos relevante, o encarregado será o ponto de contato entre os titulares dos dados, o que torna a sua existência tão importante para a adequação à LGPD, já que esta é inteiramente baseada no respeito aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
*Renato Opice Blum é presidente do Conselho de Comércio Eletrônico da FecomercioSP.
*Shirly Wajsbrot é advogada especializada em Direito Digital, Internacional e Proteção de Dados.
Artigo originalmente publicado no site Noomis no dia 1º de março de 2020.