Curiosamente a lei brasileira de proteção de dados não fala expressamente sobre DPO, em verdade o termo é uma designação estrangeira fixada pela GDPR
Por Flavia Meleras Bekerman e Marco Antonio Loschiavo Leme de Barros
Diante da iminente entrada em vigor da Lei Geral de Proteção de Dados (Lei 13.709/18 – LGPD) que aguarda a sanção do Executivo, chama muito a atenção no feed de notícias das redes sociais e outros meios de comunicação dos escritórios jurídicos e consultorias, muitas ofertas, algumas delas até “patrocinadas” oferecendo cursos de como virar um DPO (Data Protection Officer) no Brasil.
Muitas questões surgem, afinal DPO e encarregado são profissionais semelhantes? Há espaço para inovar e flexibilizar o campo de atuação deste profissional da proteção de dados no Brasil?
Vale lembrar que muitas questões técnicas da LGPD ainda não foram definidas, inclusive a lei atribui esta competência para a Autoridade Nacional de Proteção de Dados (ANPD) – recentemente estruturada como órgão de governo – , como no caso da definição das hipóteses de comunicação e uso compartilhado de dados entre pessoas jurídicas, ou ainda acerca da possibilidade de definir as atribuições e hipóteses de dispensa do encarregado.
Hoje, portanto, não se sabe ao certo quais são os requisitos ou características mínimas necessárias para exercer as atribuições do encarregado no país.
Devemos aguardar a regulamentação pela ANPD? O mercado sinaliza para outra direção e indica que o espaço em relação à atuação do encarregado é plural e em construção, o que não implica necessariamente em importar e repetir as experiências estrangeiras.
É possível defender uma atuação específica deste profissional considerando as particularidades da sociedade brasileira, na qual parcela da população ainda enfrenta seríssimos problemas de acesso à banda larga e aos distintos serviços públicos e privados disponíveis na rede, adiciona-se ao cenário a dificuldade de assegurar na prática as liberdades civis nesses ambientes, como a própria privacidade.
Este é um debate que a ANPD deve levar adiante e consultar a comunidade no momento de elaborar as normas complementares, além é claro de evitar os processos de captura regulatória.
Do ponto de vista prático, existem boas razões (jurídicas e técnicas) para a nomeação de imediato do encarregado no Brasil – a exemplo de alguns países sul-americanos como é o caso de Uruguai, que recentemente ditou a Resolução 44/020 de 21 de julho de 2020. Primeira razão decorre do próprio texto da LGPD, que estabelece uma série de obrigações para as empresas controladoras dentre as quais se destaca a nomeação do encarregado.
A LGPD define a figura do encarregado como o responsável pela orientação sobre o tratamento e o monitoramento da implementação de medidas protetivas aos dados pessoais, indicado pelo controlador e que atua como canal de comunicaçãoo perante a ANPD e os titulares dos dados.
Como intermediador desta comunicação, o encarregado precisa compreender as demandas de todos os lados para propor e orientar os colaboradores, funcionários e contratados da empresa sobre a melhores práticas a serem tomadas para viabilizar o tratamento de dados pessoais. A segunda razão derivada da primeira é que o encarregado opera como um dos principais mecanismos para a efetiva mudança cultural de fundo pressuposta pela legislação no ambiente corporativo.
Tal avaliação é muito importante para o profissional que pretende avançar na formação no campo da proteção de dados e privacidade, sobretudo diante de tantos cursos disponíveis no mercado que já tratam sobre DPO. Para além de apresentar as práticas estrangeiras, será que estamos preparados para ensinar e discutir os desafios locais ao implementar uma legislação tão importante?
A compreensão dogmática e técnica da segurança da informação precisa estar vinculada ao contexto social da pandemia que enfrentamos e dos problemas dos sujeitos subintegrados ao sistema jurídico no país, que lida diariamente com os efeitos de restrição de liberdade tendo em vista a incapacidade estatal de cumprimento e proteção dos dados.
Basta pensar no caso do mecanismo implementado para o pagamento do auxílio emergencial da Caixa Econômica Federal, que exigiu como regra geral o cadastro por meio de aplicativo e, posteriormente, a própria empresa pública teve dificuldades de implementar o auxílio. O resultado foi o bloqueio de 1.303.127 milhão de cadastros por possíveis fraudes diante da operação de hackers.
Muitos necessitados ficaram sem o atendimento devido e tiveram seus dados expostos a partir da implementação de medidas pelo governo. Este caso revela que a tarefa não é fácil para ninguém, o que reforça a importância do papel do encarregado na sociedade brasileira para além da sua expertise técnica e jurídica.
Não obstante às discussão apresentadas sobre a formação de encarregados no país, é possível propor também múltiplas configurações em relação ao perfil deste profissional diante dos mercados.
O encarregado pode ser sim designado dentro da mesma empresa, por exemplo, vinculado ao corpo diretivo, ao CEO, ao chefe do departamento do TI, de RH, uma pessoa física, mas também pode ser um terceiro externo, fora da empresa, seja pessoa física ou jurídica. Esta decisão vai depender dos interesses do controlador, responsável por nomear o encarregado.
Percebe-se, assim, que esta variedade é uma contribuição muito interessante para o desenvolvimento da trajetória desta nova profissão no Brasil. Aliás, a depender do volume da demanda e do porte da empresa, é possível cogitar como já acontece com a GDPR que um grupo de empresas aponte um único DPO para representá-las.
Às vezes as tarefas são tantas e diversas que, inclusive, pode ser necessário ter um grupo de profissionais em rede que ocupem esse lugar, especialmente se a empresa tiver atividades em outros países. Não existe uma única configuração ou modelo a ser seguido.
Uma atenção final deve ser enfatizada neste processo de escolha de um encarregado já que é imperioso evitar ao máximo possíveis conflitos de interesse no desempenho das atribuições dentro da empresa.
Afinal, este profissional deve se manifestar de modo imparcial em relação ao monitoramento e implementação da política de privacidade, além é claro de conseguir avaliar a licitude das atividades de tratamento de dados sem interferência da empresa. Logo, o exame da integridade, preparo técnico e do elevado nível de ética profissional pressuposto deve ser colocado à mesa na hora de decidir e identificar um encarregado.
Considerando as características de destaque que devem ser observadas ao nomear um encarregado de proteção de dados, entendemos que o profissional deverá conseguir conhecer em profundidade as atividades de tratamento de dados realizadas pelas empresas, ter noções da atividade econômica da mesma, e entender o sistema de segurança da mesma por um lado.
Assim como se comunicar facilmente com os titulares e com a Autoridade, de modo a ser capaz de responder em tempo hábil possíveis solicitações dos titulares ou autoridades locais. Isso porque a habilidade em responder de maneira eficiente a tais solicitações está diretamente relacionada aos princípios de livre acesso (art. 6º, IV) e da transparência (art. 6º, VI) trazidos pela LGPD.
Diante das importantes tarefas que este profissional desempenha na sociedade, inclusive em razão das atribuições legais, é suficiente compreender as sinalizações do mercado e apostar no exame interno das reais necessidades e possibilidades de cada empresa para proceder com a escolha.
É o caso de admitir a atuação de diferentes encarregados para atender as diversas atividades econômicas dependentes de tratamento de dados pessoais.
Governo publica estrutura da ANPD para a implementação da LGPD
LGPD: Preocupação ou Oportunidade?