jusbrasil.com.br
4 de Abril de 2020

Data Protection Officer (DPO): papeis e responsabilidades

Marcelo Alves Pereira, Advogado
Publicado por Marcelo Alves Pereira
há 9 meses

Em tempos de privacidade de dados em alta, uma preocupação marcante para as empresas é a nomeação do encarregado de proteção de dados, também conhecido como Data Protection Officer – DPO, cujo principal papel é garantir que a organização processe os dados pessoais (de equipe, clientes, provedores ou de titulares de dados) em conformidade com as regras de proteção de dados aplicáveis.

No Brasil, as questões legais que envolvem a função de encarregado de proteção de dados sofreram mudanças. No dia 29 de maio de 2019, o Senado Federal aprovou a Medida Provisória nº 869/2018 que alterou a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) nesses aspectos. Numa altura em que nos encontramos entre um ano e meses para a entrada em vigor da LGPD e um ano e meses da entrada em vigor o Regulamento Geral da Proteção de Dados (RGPD), na Europa, é importante resgatar o entendimento sobre os papeis e responsabilidades deste novo profissional.

O primeiro aspecto diz respeito à obrigatoriedade de nomeação do DPO. Partindo do GDPR, os controladores e processadores devem nomear um responsável pela proteção de dados (DPO) em circunstâncias específicas, trazidas em seu art. 37:

Artigo 37º

Designação do encarregado da proteção de dados

1.O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no

exercício da sua função jurisdicional;

b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º.

Na LGPD, a obrigatoriedade está no art. 41, mas é logo no art. 5º que temos uma primeira mudança: conforme o texto original apenas os controladores devem nomear um DPO.

Art. 5º

VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;

A MP 869/2018, por sua vez, traz redação significativamente diferente quanto a mesma obrigatoriedade:

Art. 5º

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

A nova redação não impõe a necessidade de que o encarregado (DPO) seja uma pessoa natural, ampliando a regra e possibilitando a indicação de pessoas jurídicas, comitês ou grupos de trabalho para o exercício dessa função. Além disso, nos parece clara a possibilidade de terceirização do encarregado que, inclusive, não possui limite territorial, o que significa que poderá o encarregado estar localizado fora do território nacional, desde que preenchidos os requisitos para sua qualificação como tal. Ao que nos parece, foi ampliada a obrigatoriedade de nomeação do encarregado para atingir os operadores de dados, de modo que estes agentes de tratamento deverão também nomear um DPO.

Não obstante, há uma sutileza na MP 869, pois ela diz no art. , inciso VIII que encarregado é “pessoa indicada pelo controlador e operador para atuar como canal de comunicação (...)”. já no art. 41, dispõe que o “controlador deverá indicar encarregado pelo tratamento de dados pessoais.”. de qualquer modo, entendemos pela obrigatoriedade para todos os agentes de tratamento, independentemente do tipo, volume e maneira como os dados são processados em suas organizações. Importante ressaltar que a obrigatoriedade se estende às pessoas jurídicas de direito público na forma do art. 23, III, da LGPD.

Se, quando da sanção da LGPD, pouco se sabia sobre o trabalho e a importância dos encarregados de proteção de dados, passados quase um ano da sua aprovação, o tema está cada vez mais na ordem do dia. A CPO Magazine (ou Chief Privacy Officer Magazine) realizou uma pesquisa[1] com mais de 250 DPOs que, em sua maioria, trabalham para algumas das maiores empresas do mundo nos setores de tecnologia e finanças. Eles contaram sobre os desafios enfrentados e sobre quais políticas e procedimentos de privacidade estão priorizando diante de um público mais consciente de seus direitos após a entrada em vigor do GDPR.

De acordo com o GDPR, um DPO é responsável por supervisionar a estratégia e a implementação de proteção de dados de uma organização. Ele deve garantir que uma organização está cumprindo os requisitos do Regulamento, nos termos do artigo 39º:

Artigo 39º

Funções do encarregado da proteção de dados

1.O encarregado da proteção de dados tem, pelo menos, as seguintes funções:

a) Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;

b) Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;

c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35º;

d) Coopera com a autoridade de controlo;

e) Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

2.No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

Em síntese, o DPO está incumbido de i) treinar e orientar os funcionários da organização em sobre os requisitos de conformidade com GDPR; ii) realizar avaliações e auditorias regulares para garantir a conformidade com o GDPR; iii) servir como ponto de contato entre a empresa e a autoridade supervisora; iv) manter registros das atividades de processamento de dados realizadas pela organização; v) responder e informar os titulares de dados pessoais sobre como seus dados estão sendo usados e quais medidas de proteção implementadas pela organização e, vi) assegurar que os pedidos de acesso ou apagamento de dados feitos por titulares de dados pessoais, sejam atendidos ou respondidos, conforme necessário.

De outra banda, a LGPD traz no parágrafo 2º de seu artigo 41 as atribuições do encarregado:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

[...]

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A similaridade das normas, no quesito funções do DPO, é perceptível, embora nos pareça ser o GPDR mais abrangente que a LGPD neste aspecto.

Em busca de construir o entendimento a partir da pesquisa da CPO Magazine, para então transporta-lo para a realidade brasileira, vemos que, talvez a mais importante descoberta feita pela pesquisa é a que trata da dificuldade dos DPOs em incorporarem em suas organizações as melhores práticas de proteção de dados. Um relevante número dos DPOs entrevistados (23%) apontara como principal desafio a insuficiência de recursos humanos para a realização das atividades relacionadas à função.

No Brasil a realidade não é tão diferente. Embora estejamos em período de vacatio legis - lapso temporal para que as pessoas tenham conhecimento acerca da existência de uma lei -, já se passaram quase 12 meses da aprovação da LGPD e, de acordo com uma pesquisa feita pela Serasa Experian[2] em março deste ano, boa parte dos cidadãos brasileiros nunca ouviram falar do assunto.

Dentro de nossa experiência na advocacia especializada em Direito Digital, com base nas discussões travadas em eventos sobre o tema e, diante das conversas com empresas que procuram o escritório, verificamos que grandes empresas brasileiras já estão caminhando para a implementação de um programa de compliance em LGPD, enquanto parte considerável das médias empresas ainda não iniciaram nenhuma ação relacionada ao tema.

Quanto a isso, há questões a serem elucidadas, tais como: Será que já não é o momento de nomear o DPO ou ao menos, um grupo de trabalho para desenvolver internamente o tema dentro da organização? Em que posição na organização deve estar esta função? É melhor treinar, contratar ou terceirizar? Atribuir a função de DPO a alguém do departamento de tecnologia da informação é uma boa escolha? Ao que nos parece, são questões preocupantes, tendo em vista que a implementação de um programa de compliance requer recursos e tempo, o que pode, dependendo do caso, ultrapassar o período de vacatio.

Um estudo[3] do IAPP – International Association of Privacy Professionals revelou que, a partir da entrada em vigor do GDPR, pelo menos 28.000 DPOs serão necessários apenas na Europa e nos Estados Unidos.

A MP 869 trouxe outra mudança significativa que foi a inserção de um parágrafo 4º no art. 41 da LGPD, cujo caput dispõe que o encarregado deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, dentre outras funções já descritas nos parágrafos anteriores do referido artigo. Talvez essa disposição possa ter sido inspirada no art. 37º, 5 do GDPR e, na prática, sua interpretação pode ser preocupante. A uma, porque a MP não especificou que conhecimentos jurídicos e regulatórios são esses, nem mesmo impôs a apresentação de certificados sobre a qualificação exigida. A duas, porque, se algumas empresas pensam em delegar ao departamento de tecnologia a função de nomear ou contratar o DPO, pode estar incorrendo em um ledo engano que poderá comprometer o seu programa de conformidade. De qualquer modo, empresas especializadas já oferecem capacitação que conta com conhecimento técnico-jurídico para o atendimento a essa exigência legal. Ademais, esperamos que Autoridade Nacional de Proteção de Dados futuramente regulamente estes pontos.

Outro ponto de atenção trazido pelo novo parágrafo 4º, do art. 41 da MP896 é que a ANPD regulamentará os casos em que o operador deverá indicar encarregado. E, neste caso, na ausência de regulamentação, entendemos pela obrigatoriedade. Além disso, a ANPD regulamentará também os casos em que um grupo econômico poderá indicar um único encarregado e questões sobre a garantia da autonomia técnica e profissional no exercício do cargo de encarregado.

De volta à pesquisa da CPO Magazine, esta também demonstrou que 46% (quase a metade) das organizações pesquisadas gastou menos de 5% de seu orçamento anual de governança, risco e conformidade em atividades de proteção de dados. No Brasil, talvez seja o momento de as organizações incluírem em seus orçamentos a pasta privacidade e proteção de dados. Mas se parte das empresas ainda não se atentou para o tema, como é que poderão medir gastos nesta área? É de suma importância que os trabalhos iniciem com a realização de uma avaliação (tecnicamente chamada de assessment) para que seja possível a construção de um plano de ação que possa servir de bússola para os investimentos necessários em privacidade e proteção de dados.

Segundo a pesquisa, mesmo sem apoio e com falta de orçamento, aproximadamente 75% das empresas participantes tinham 10 ou menos funcionários envolvidos com privacidade e proteção de dados e aproximadamente 40% das organizações com mais de 5.000 funcionários têm menos de 10 funcionários envolvidos com privacidade de dados pessoais. Percebe-se que as

empresas não pretendiam ter um número tão baixo de funcionários, mas são os resultados lógicos dos desafios orçamentários e organizacionais.

De acordo com a pesquisa, a primeira prioridade de um DPO é geralmente criar conscientização de proteção de dados. À medida que o programa de proteção de dados amadurece e a organização, como um todo, aplica de forma mais consistente melhores práticas de proteção de dados, o DPO pode priorizar a governança aprimorada dos processos de dados e implantar novas tecnologias e modelos de negócios para melhorar o processamento de dados compatíveis com o GDPR.

Se pensarmos na nossa realidade, iniciar pela conscientização de base pode ser um bom caminho. Conscientização de base é a criação da cultura de privacidade e necessidade de adequação na organização, não só por obrigatoriedade legal, mas também como um aprimoramento para os modelos de negócio. Mas isso deve começar por alguém. Os departamentos de compliance, TI e/ou jurídico devem fomentar o assunto internamente e, paralelamente, sugerir a nomeação do DPO. A partir daí, inicia-se o projeto de implementação do programa de compliance que, como dissemos, tem como primeiro passo o assessment.

Em conclusão, temos que o trabalho do DPO ainda está em estágio inicial tanto para as organizações sujeitas ao cumprimento do GDPR e, mais ainda, para as que deverão estar em conformidade com a LGPD. Timidamente, as empresas estão buscando investir e lidar com a conformidade com o GDPR. Entretanto, o GDPR exige um DPO em situações específicas, enquanto a LGPD não define especificidades. Desse modo, diante da obrigatoriedade, é preocupante o fato de poucas empresas inda terem iniciado, ao menos grupos de trabalho para tratarem internamente do tema.

Proteção de dados pessoais é não é um tema novo[4]. Além do bloco europeu, o Japão possui legislação desde 2005 e as maiores economias do mundo já possuem legislação que tratam do assunto.

O The Global Risks Report 2019[5] do wolrd economic forum, apontou no topo da lista dos riscos que podem causar impactos no mundo, e que têm a probabilidade de ocorrer, estão, em primeiro lugar eventos climáticos extremos; em segundo, não conseguir mitigar e se adaptar as mudanças de clima; em terceiro lugar os desastres naturais; em quarto, fraude e roubo de dados e, em quinto lugar, os ataques cibernéticos.

A hora é agora. O que a sua organização está fazendo para estar compliance?


[1] https://www.cpomagazine.com/data-protection-and-privacy-officer-priorities-2019

[2] https://www.serasaexperian.com.br/sala-de-imprensa/75-dos-consumidores-desconhecemou-conhecem-pouco-sobrealei-de-proteçâo-de-dados-revela-pesquisa-inedita-da-serasa-experian

[3] https://iapp.org/news/a/study-gdprs-global-reach-to-require-at-least-75000-dpos-worldwide/

[4] https://unctad.org/en/Pages/DTL/STI_and_ICTs/ICT4D-Legislation/eCom-Data-Protection-Laws.aspx

[5] http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf


0 Comentários

Faça um comentário construtivo para esse documento.

Não use muitas letras maiúsculas, isso denota "GRITAR" ;)