Introdução
O tema proteção de dados pessoais e privacidade, conquista cada dia mais espaço nos periódicos que tratam de assuntos empresariais. Em agosto de 2020 teremos o advento da brasileiríssima Lei Geral de Proteção de Dados, mais conhecida como LGPD, nela, encontram-se vários pontos que irão afetar sua empresa. Hoje trataremos de um ponto muito importante, quiçá o mais importante, para as empresas: o Encarregado de Proteção de Dados, que ficou mais conhecido pelo termo inglês que o mercado adotou, Data Protection Officer (DPO).
A criação do cargo de DPO dentro das companhias foi encabeçado pela legislação europeia de proteção de dados, a General Data Protection Regulation (GDPR), e que nossa LGPD, que muito se inspirou na dita lei do velho continente, também adotou. É uma armadilha, para a empresa, não atentar a esse importante cargo que irá trabalhar futuramente dentro da companhia orientando a empresa, no que tange proteção de dados pessoais e resguardando os direitos dos titulares de dados pessoais.
1. A obrigatoriedade de nomear um DPO
O artigo 41 da Lei Geral de Proteção de Dados dispõe “O controlador deverá indicar encarregado pelo tratamento de dados pessoais”, entenda-se por controlador a empresa que toma as decisões sobre o tratamento dos dados pessoais de titulares.
O Data Protection Officer pode ser uma pessoa contratada pela companhia para trabalhar in-house ou uma pessoa ou empresa externa, contratada por meio de contrato de prestação de serviços, ambos terão a função de ser a bussola da empresa nos mares tortuosos da conformidade com a proteção de dados pessoais e privacidade.
Embora a lei brasileira exija a criação deste cargo dentro das empresas, dependerá da Agência Nacional de Proteção de Dados (ANPD) delimitar o escopo dessa norma, e, como até o momento da elaboração deste artigo, a respectiva agência reguladora, ainda não estava estruturada, não se sabe qual o porte mínimo da empresa, para que seja exigida a contratação deste profissional em proteção de dados.
Como baliza, cito como exemplo o que ocorre na Alemanha: Lá sedimentou-se, recentemente, novo entendimento quanto ao número de funcionários da empresa que estará isenta de ter um Data Protection Officer. O entendimento dos legisladores alemães, firmou-se no sentido de que empresas com mais de 20 funcionários, devem denominar encarregado pelo tratamento de dados pessoais.
Embora tenha-se a possibilidade de dispensa da indicação de encarregado pelo tratamento de dados, isso não escusa a empresa (no caso alemã) com menos de 20 colaboradores de ter que se adequar aos preceitos modernos de tratamento e proteção aos dados pessoais dos titulares.
2. Independência para exercer sua função
Um dos princípios mais importantes para o DPO exercer seu papel de maneira correta e incólume, é o da independência, tanto gerencial quanto ao potencial conflito de interesses. Explico:
Independência gerencial, decorre da essência da função de Data Protection Officer, pois, como muitos empresários se equivocam, a função do DPO é, em primeira instância, efetivar políticas e controles internos na companhia que salvaguardem os direitos pessoais dos titulares. Obviamente, o DPO equilibra essa função com os interesses comerciais da companhia encontrando-se, destarte, a melhor forma de tratamento ético dos dados pessoais dos titulares.
Assim, o DPO não pode estar sujeito à políticas e comandos de um CIO, por exemplo, pois por motivos de hierarquia estaria sujeito a ordens que poderiam anular a função basilar do próprio cargo, que é proteger a privacidade e os dados pessoais dos titulares. O DPO trabalha aconselhando e auditando todas as áreas que tenham uma forma de tratamento de dados ou que podem gerar risco por um eventual vazamento de informações.
Já, a independência de conflito de interesses, é quando, por exemplo, o CEO, sócio ou qualquer pessoa que tenha interesse direto na prosperidade da companhia, queira assumir o papel de DPO. Entende-se que há conflito, pois, o zelo que um condutor dos interesses comerciais empregará para implementação de melhores práticas, conforme as diretrizes de proteção de dados, pode ser maculado.
Ademais, há conflito no espectro da auditoria empenhada pelo DPO, dentro da empresa, sobre regimes de proteção de dados que a companhia implementa. Da mesma sorte que se um CIO, gerente de Recursos Humanos, advogado etc. vestir o manto de DPO, este estaria auditando seus próprios atos, o que dificulta demonstrar credibilidade e seriedade perante a Agência Nacional de Proteção de Dados.
3. Funções dentro das companhias
Como redigido acima, o Data Protection Officer, é o capitão da empresa, nas águas incertas da proteção de dados pessoais e privacidade. Suas funções exercidas dentro da empresa, são cruciais para que se tenha uma política de tratamento transparente e correta, o que se vê, por experiência, sendo exigido pelas agências reguladoras alemãs e que tem sido um trend global.
O DPO terá, dentro da empresa, um papel de minimizador de riscos, envolvendo dados pessoais de titulares. Primeiramente, o DPO será encarregado de aconselhar, quais práticas e técnicas a empresa deve adotar, para estar em conformidade com a Lei Geral de Proteção de Dados, servindo de ponto de referência em todas as questões que envolvam proteção de dados dentro da empresa. Em segundo lugar, o DPO fará a comunicação com a Agência Nacional de Proteção de Dados, em caso de vazamento de dados, por exemplo. Também, é papel do DPO, responder e ser um contato interno para garantir o cumprimento dos direitos dos titulares de dados pessoais, um exemplo desses, é o direito ao acesso aos seus dados pessoais dentro da empresa, o DPO auxiliará e responderá ao titular.
Muito importante para a empresa é o papel educador do DPO, pois ele deverá promover a conscientização, regularmente, de todos os colaboradores de modo que se instaure na companhia uma cultura protecionista quanto ao tratamento de dados pessoais.
Conclusão
A Proteção de Dados Pessoais e Privacidade é um tema novo, porém deve ser tratado com seriedade. Observando-se a tendência mundial, principalmente na esteira da União Europeia, a importância de ter na empresa um Data Protection Officer (DPO), independentemente se interno ou externo, é crucial. Pois será o DPO que coordenará e orientará a companhia, nas normas de proteção de dados e na implementação das melhores práticas.
Gregor Karl
Gregor Karl é formado em Direito, advogado inscrito na OAB/PR, com experiência profissional em escritório de advocacia nas áreas cível e empresarial, experiência em Proteção de Dados Pessoais e Privacidade em escritório de advocacia na Alemanha. Atualmente é o head do Departamento de Proteção de Dados e International Desk da Crowe Consult Consultoria.