Data Protection Officer ou Encarregado

Um novo mercado de trabalho trazido pelas regulamentações de dados pessoais

Com o advento da globalização, do desenvolvimento dos meios de comunicação e a criação da Internet e suas aplicações, diversas foram as mudanças políticas, econômicas e sociais, dentre as quais, destaca-se a quebra de fronteiras territoriais, vez que as distâncias físicas deixaram de ser obstáculos para o desenvolvimento de relações pessoais, comerciais, políticas entre os mais diversos pontos do planeta.

Diante deste cenário, a produção de dados pessoais, bem como seu tratamento (entendido como toda operação realizada com dados pessoais, desde sua coleta até sua eliminação) se tornaram cada vez mais frequentes, passando os dados pessoais a ter um valor incalculável, sendo utilizados por empresas para os mais diversos fins comerciais.

Como exemplos deste “poder dos dados”, diversos escândalos como o “Caso Snowden” e o “Caso Cambridge Analytica” demonstraram a necessidade de regulamentar com mais critério e controlar de forma mais rigorosa o tratamento de dados pessoais, traduzindo-se em leis gerais sobre o tema, tais como o General Data Protection Regulation (“GDPR”) na União Europeia e a Lei Geral de Proteção de Dados Pessoais (“LGPD”) no Brasil.

Dentre as novidades trazidas por referidas leis está a mudança no modelo de governança corporativa das empresas, com a nomeação de um Data Protection Officer (termo “DPO”, utilizado na lei europeia) ou um Encarregado (termo utilizado na lei brasileira), tratando-se da pessoa indicada pela empresa para fazer a gestão do assunto privacidade e proteção de dados pessoais.

Na União Europeia, o GDPR estabelece que será necessária a contratação de um DPO em três hipóteses: (i) quando o tratamento for efetuado por uma autoridade ou organismo público, com exceção dos tribunais no exercício de sua função jurisdicional; (ii) quando as atividades principais da entidade consistam em operações de tratamento que, devido à sua natureza, âmbito e finalidade tratem dados pessoais em larga escala e necessitem de monitoramento regular e sistemático; e (iii) nas hipóteses em que o controlador ou operador tenham como atividade principal o tratamento em grande escala de categorias especiais de dados (origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, ou filiação sindical, dados genéticos, dados biométricos, dados de saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa, de acordo com o artigo 9 da GDPR) ou relativos a condenações ou delitos criminais (artigo 37 da GDPR).

No Brasil, houve intensa discussão acerca das habilidades desse profissional, com tentativa de alteração da previsão original da LGPD, exigindo-se do Encarregado que tivesse conhecimentos jurídico-regulatório sobre proteção de dados.

Porém, após longos e intensos debates, foi publicada em 09.07.2019 a Lei nº 13.853/19, que finalizou o processo legislativo da LGPD, afastando definitivamente tal discussão, vez que deixou de impor qualquer exigência sobre os conhecimentos técnicos do Encarregado.

Ainda, apesar de não dispor claramente a respeito das hipóteses necessárias para adoção de um DPO, a versão final da lei brasileira definiu o conceito de Encarregado como aquela pessoa indicada pelo controlador e pelo operador de dados pessoais para atuar como canal de comunicação entre o controlador, os titulares e a futura Autoridade Nacional de Proteção de Dados (ANPD).

Entretanto, mais adiante, nos dispositivos legais referentes especificamente ao Encarregado a legislação determina que o controlador deverá indicar este profissional, não citando o operador de dados pessoais. Neste sentido, poderá tal previsão gerar conflito em relação à necessidade ou não de contratação de um DPO também pelo operador.

Fato é que levando em consideração a forte influência do GDPR na legislação nacional, bem como a amplitude do enquadramento de uma entidade pública ou privada enquanto controladora, ou seja, como aquele a quem competem as decisões referentes ao tratamento de dados pessoais, ambos agentes do tratamento deverão se preocupar com a implementação de um DPO, respeitando e seguindo futuras regulamentações emitidas pela ANPD.

O cargo pode ser ocupado por pessoas físicas ou jurídicas, estabelecendo a  LGPD como principais atividades do Encarregado: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (Art. 41, §2º, da Lei nº 13.709/18).

A ANPD poderá ainda (i) estabelecer normas complementares sobre a definição e as atribuições do Encarregado; (ii) as hipóteses de dispensa de necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Ainda, a lei não estabelece a obrigação de um DPO “full time”, com a possibilidade de contratação em regime parcial e a terceirização do serviço na figura do DPO as a service.

Em recente estudo publicado pela International Association of Privacy Professionals (IAPP) demonstrou-se que após 1 (um) ano da entrada em vigor do GDPR foram registrados perante as Autoridades de Proteção de Dados europeias aproximadamente 500.000 (quinhentos mil) DPOs, segundo dados da International Association of Privacy Professionals. Ainda, estima-se que na Europa, após a entrada em vigor do GDPR eram necessários aproximadamente 28.000 DPOs, de acordo com um estudo publicado pelos especialistas Rita Heimes e Sam Pfeifle em 2016, número extremamente expressivo e que traduz o surgimento de um novo mercado profissional.

Tal mercado possivelmente também será abrangente no território brasileiro já que assim como a lei europeia, a LGPD tem aplicação multisetorial. Profissionais que contem com conhecimentos nas áreas de compliance, leis de proteção de dados, tecnologia da informação ou segurança da informação, certamente terão vantagens na competição pelo exercício de tal função.

Alguns aspectos devem ainda ser considerados na adoção de um DPO. Um primeiro fator é a estrutura de reporte dentro da entidade. É recomendável que o encarregado tenha independência e reporte ao nível mais alto de gestão do controlador ou operador (C-level ou board). Ainda, é aconselhável que este tipo de profissional não acumule cargos, como por exemplo, executar simultaneamente as funções de Diretor de TI e DPO, de forma a não impactar em sua principal incumbência, que deverá ser a proteção de dados pessoais.

Da mesma forma que é uma boa prática possuir independência. O ideal é que o encarregado conte com orçamento próprio, sua equipe de trabalho e seja reconhecido como um board level adviser (consultor do Conselho de Administração). Ainda não é aconselhável que seja penalizado pelo controlador ou operador pelo fato de exercer suas funções, como por exemplo, em decorrência de notificar a ocorrência de um data breach (vazamento de dados) para a autoridade competente.

Neste sentido, o DPO passará a ser observado enquanto um símbolo da transparência e integridade tanto para entidades da esfera pública como privada. Empresas brasileiras, por exemplo, que desenvolvam negócios com empresas europeias, terão um diferencial competitivo ao nomear um DPO, pois poderão confirmar que estão atentas aos principais regulamentos de Privacidade e Proteção de Dados Pessoais, em escala global.

Ainda, a adoção de programas de compliance às regras, princípios e padrões dispostos na LGPD e, posteriormente geridos pelo DPO, deverá ser encarado não apenas como um mitigador de risco de perda financeira, mas também como modo de evitar danos reputacionais, e poderá ser utilizado enquanto um atrativo negocial ou potencial competitivo pelas entidades sujeitas aos dispositivos da lei.

Texto escrito por Fábio Lara Aspis e revisado por Camilla do Vale Jimene, a partir das discussões realizadas no âmbito do Comitê de Estudos em Compliance Digital da LEC.

Publicado originalmente na revista LEC nº27, “Data Protection Officer ou Encarregado”.

Imagem: Freepik

Nenhum comentário

Publicar um comentário