Todas as empresas deverão ter um encarregado de proteção de dados pessoais

Quando a Lei Geral de proteção de Dados passar a vigorar, nos próximos dias, uma das obrigações que trará, e que deverá deve ser cumprida imediatamente, é a indicação do encarregado de proteção de dados pessoais (um DPO, sigla em inglês para Data Protection Officer). Que pode ser uma pessoa física (ou um responsável dentro de um comitê interno), ou uma pessoa jurídica (um DPO as a Service), com conhecimento profundo da lei, mas também, e sobretudo, da atividade da organização. E é aí que as divergências de opinião começam a surgir.

Para início de conversa, quem é o DPO e o que faz? Conforme a LGPD, DPO é alguém que cuida da proteção de dados pessoais dos cidadãos, com autonomia para fiscalizar o tratamento que as instituições fazem desses dados, e habilidades para ser a interface entre as instituições e as autoridades e os titulares dos dados (os cidadãos).

"Essa figura aparece pela primeira vez em 1977, na Lei de Proteção de Dados da Alemanha. Que, na minha opinião, tem a definição mais clara da função desse profissional. Cabe a ele tornar realidade dentro das organizações o que estabelece a lei", afirma Nuria López, DPO do Opice Blum Advogados Associados.

Para tornar prática corrente o texto complexo e abstrato da lei, o DPO precisa atuar em várias frentes: desde orientar o controlador (a quem compete às decisões referentes ao tratamento de dados pessoais) a estar em conformidade com a lei, até conscientizar todos os funcionários e parceiros sobre a importância da proteção e do tratamento adequado dos dados pessoais.

Simplificando, o DPO é uma espécie de guardião, encarregado da disseminação da cultura de proteção de dados dentro das organizações e da adequação delas ao que estabelece a lei. Em seu trabalho, ele auxilia as instituições a adaptar seus processos para garantir o uso correto e seguro dos dados pessoais sob a sua tutela.

"Esse papel da construção da cultura da proteção de dados dentro dos instituições ficou muito forte aqui na LGPD", diz Nuria.

Cabe ao DPO, portanto, receber e responder às solicitações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e da Justiça, avaliar a criticidade dos tratamentos de dados pessoais, cobrar as práticas e as políticas da empresa em relação à conformidade com a LGPD e demais normas pertinentes, monitorar os processos da empresa, acompanhar o desenvolvimento de novos projetos, cobrar a adoção do privacy by design, orientar os colaboradores e os parceiros e por aí vai. Trabalho de sobra.

Por conta de tudo disso, a atuação do DPO é interdisciplinar, e seu perfil, multifacetado. O DPO precisa ter conhecimento técnico e jurídico. Ser capaz de acompanhar de perto capaz de acompanhar todo o ciclo de vida de informação dentro de uma organização. Ele toca todas as equipes da organização. Especialmente todos os setores que lidam com dados pessoais (considerado qualquer dado que possa identificar potencialmente uma pessoa). O RH, por exemplo, lida com muito desses dados. Inclusive, dados sensíveis, como os de saúde.

Então todas as empresas deverão ter um DPO? A princípio, sim. As exceções, se e quando houverem, serão estabelecidas pela Autoridade Nacional de Proteção de Dados (a ANPD). Como ela ainda não saiu do papel, mesmo startups e pequenas empresas, profissionais autônomos ou representantes comerciais, todos precisarão ter um DPO. Embora muita gente considere que o porte instituição não deveria ser o parâmetro usado para justificar a não obrigatoriedade.

"Não faz sentido uma rede de padarias, ainda que com muitos funcionários mas sem nenhum tipo de tratamento de alto risco de dados dos clientes, ter um DPO. Já uma startup na área da saúde, ainda que com poucos funcionário, mas com uma atividade de tratamento de dados de alto risco, deveria ter um DPO sim. Ou seja, o peso da regulação no campo da proteção de dados segue uma lógica de risco e não do tamanho do faturamento ou do quadro de funcionários", comenta o professor e fundador do Data Privacy Brasil, Bruno Bioni.

O tamanho da organização, portanto, não seria mandatório. Mas só será possível afirmar isso quando a ANPD deliberar a respeito. Até lá, o mercado vai se consolidando, a partir de experiências externas, como as dos países europeus a partir da vigência do Regulamento Geral sobre a Proteção de Dados (o GDPR).

"O Brasil não tem experiência e know-how para viver plenamente a realidade de uma LGPD e precisávamos de um órgão para nós orientar. É um processo evolutivo. Não se protegem cidadãos apenas criando leis e direitos. Não basta. A ANPD não veio ainda e a lei vai recair com força total sobre os agentes de tratamento. Sem fiscalização competente e com medo de processos judiciais, as empresas vão terceirizar ao máximo a função na ilusão de estarem fazendo a melhor aposta", opina Fabrício da Mota Alves, sócio do Garcia de Souza Advogados e representante do Senado no Conselho Nacional de Proteção de Dados.

É nesse contexto que surge a figura do DPO as a service. Muita gente acredita que a contratação de um DPO as a Service é adequada às pequenas e médias empresas, por ser mais barata que a contratação de um funcionário dedicado à função.

"De novo, não vejo como uma questão de porte da empresa", diz Bioni.

"Muitas empresas optam por ter um DPO as a Service para garantir a autonomia. Por verificar que não há uma pessoa dentro da sua estrutura capaz exercer essa função de forma neutra", comenta Nuria López.

Do ponto de vista legal, a figura do DPO as a Service é permitida. Do ponto de vista das boas práticas é que o debate esquenta.

"Terceirizar a função de DPO é perder a oportunidade de internalizar a cultura de proteção de dados. Muitas vezes, o terceiro é encarado como corpo estranho à organização. Raramente ele terá dedicação exclusiva a ela. E conhecerá profundamente suas atividades", comenta Bioni.

Ele defende que toda organização tenha o seu DPO. "Mesmo que seja um funcionário que tenha outras atribuições, mas que conheça profundamente a LGPD', argumenta ele. "É uma responsabilidade muito grande para ser delegada por completo a um terceiro", afirma.

Márcio Cots, do Cots Advogados, parceiro da GetGlobal na prestação do serviço de DPO as a Service, também acredita ter uma pessoa do quadro funcional da empresa exercendo a função de DPO é importante. "A empresa ganha não só na questão cultural, de ter a privacidade como uma valor interno, como também na curva de aprendizado em relação à proteção de dados. Terceirizar é abrir mão de ter uma curva de aprendizado acentuada e viver a privacidade no dia a dia", argumenta.

Cots defende o que chama de "operação assistida", na qual a empresa indica um DPO suportado pelo serviço de DPO as a Service.  "Nós vamos dar o treinamento de DPO para ele e, durante o primeiro ano de vigência da lei, todas as atividades de DPO vão ser assistidas pelo escritório e a GetGlobal", comenta ele.

Na opinião de Cots, o DPO as a Service resolve um problema de curto prazo, e é muito mais uma consultoria do que de fato a contratação de um encarregado de proteção de dados lato sensu.

De fato, conversando com companhias e profissionais autônomos que atua como tal, percebe-se que a maioria se propõe a funcionar de forma temporária, como gatilho para o estabelecimento inicial da área interna de governança em proteção de dados, ao menos até que a organização consiga seguir sem ajuda externa.

Com poucos dias para a entrada da legislação em vigor, o ciclo de nomeação interna, aprendizado e prática pode ser difícil e demorado para a empresa que apostava que a lei seria prorrogada. Em uma jornada de curto prazo, terceirizar o DPO pode evitar dores de cabeça. Mas não deve ser encarada como uma opção permanente.

O risco, segundo Fabrício, é que ao tornar uma obrigação geral e abrangente sem suficientes parâmetros, requisitos, condições e garantias funcionais de atuação, e com raquítica estrutura regulatória, a LGPD acabe impondo uma realidade inicial de banalização da figura do DPO. "Já estamos vendo isso com a profusão de cursos fast food, a avalanche de DPOs que surgiram sem nenhuma experiência de mercado e abundância de certificação pouco criteriosa", diz ele.

A partir de 18 de setembro próximo, no máximo, os dilemas da aplicação efetiva de lei estarão mobilizando a sociedade brasileira.  Especialmente em relação à responsabilização dos controladores e à prestação de contas. Forma que a lei encontrou de incentivá-los a adotar boas práticas em relação ao tratamento de dados pessoais e comprovar que o fizeram, caso sejam cobradas. "Quanto mais os agentes de tratamento de dados forem responsivos, no sentido de adotarem as ferramentas de governança em privacidade", mais elas reduzirão o seu risco regulatório", afirma Bioni.

Na opinião do professor, a prestação de contas deve ser encarada como uma forma de as  instituições se anteciparem aos eventuais problemas regulatórios. E o DPO tem muito a contribuir.

"Prestação de contas vai muito além da ideia de transparência. Não basta os agentes de proteção de dados apresentarem um código de boas condutas, por exemplo. Ou dizerem que fazem relatórios de impacto. Que se baseiam nessa ou naquela base legal, como o consentimento ou o legítimo interesse", explica Bioni. "A prestação de contas funcionaliza essas medidas de transparência ativa para que haja conversa com os titulares dos dados e os reguladores", conclui.

São muitos os desafios que temos pela frente. Ainda temos passos importantes que não foram dados para a efetivação da ANPD. Ela só passa a existir, de fato, após a nomeação do seu corpo diretor. Ouvi de uma fonte próxima ao governo que as indicações ainda podem demorar meses… Será?

É cada vez mais recorrente a atuação de órgãos reguladores e do Poder Judiciário no que diz respeito à aplicação e fiscalização das leis setoriais de proteção de dados pessoais, como, por exemplo, do Marco Civil da Internet, Cadastro Positivo, normativas do setor financeiro, de saúde e de relações de consumo de forma mais ampla. E a tendência é que muitos passem a usar os princípios da LGPD em suas decisões.

Portanto, negligenciar a adequação à lei não parece uma bom negócio. Nomear um DPO é uma boa forma de começar o processo de adequação. Investir na sua capacitação, idem.