A Lei Geral de Proteção de Dados (Lei n. 13.709/18) entrou em vigor em 18 de setembro de 2020, com fortes expectativas para um grande movimento de adequação à legislação. Até o momento, estima-se que apenas 37% das organizações entraram em conformidade com o texto normativo, de acordo com estudo realizado pela empresa de software "Capterra", divulgado pela Exame em agosto de 2021.
Por motivos razoáveis de infraestrutura e capital, a maior fatia de adequação à LGPD está entre as empresas de grande porte e as multinacionais. Trata-se de processo organizacional custoso, dinâmico e permanente, pois envolve diversos setores internos e externos da empresa, o que potencializa a atuação conjunta de todos os níveis hierárquicos, desde a operação até o estratégico.
Em razão disso, vê-se a problemática que as empresas de pequeno e médio portes enfrentarão no desenvolvimento do compliance frente à LGPD, considerando o custo, pessoal e/ou de capital, da implementação.
Uma figura importante para o auxílio na adequação à legislação brasileira é o chamado encarregado, que cumpre papel fundamental na gestão e na operacionalização do controlador e do operador frente aos demais sujeitos mercadológicos.
Nesse sentido, é necessário o entendimento acerca da função do encarregado, sendo ele imprescindível na cadeia de adequação. A LGPD obrigatoriamente elencou a nomeação do encarregado pelo tratamento de dados pessoais, cargo equivalente ao Data Protection Officer (DPO), previsto na legislação europeia (GDPR).
Em face da importância do encarregado, a LGPD, em sua Seção II, artigo 41 e parágrafos, discorre acerca "Do encarregado pelo tratamento de dados pessoais". O parágrafo 2° indica quais são as atividades do encarregado:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
É possível afirmar, portanto, que o encarregado age como um "fiscal" do cumprimento da LGPD, possuindo contato direto com os diversos players de uma corrente de tratamento.
A LGPD, no entanto, não é taxativa na função do encarregado, ou seja, não limita a sua atuação às hipóteses listadas no artigo 41. Dessa forma, pode-se dizer que o encarregado possui orientações vagas e gerais de tarefas que deverão ser cumpridas na sua função.
Ademais, a LGPD também não disserta sobre uma forma específica de contratação do denominado popularmente DPO . Nesse sentido, a legislação brasileira não exige que as empresas contratem profissional com conhecimento específico para atuar na tarefa de DPO e não apresenta qualquer vedação para a contratação de um expert no assunto externo ao controlador de dados.
Observado o dinamismo jurídico do tema, a atuação do encarregado pelo tratamento de dados pessoais é crucial durante o processo de adequação à LGPD. Sua proatividade é imprescindível para o fluido desempenho da organização nas diversas demandas que surgem no cotidiano das atividades empresariais.
Posto isso, o DPO terceirizado, ou tecnicamente falando DPO as a Service, é opção bastante comum no ecossistema da LGPD, desenvolvendo papel externo ao agente de tratamento e seus colaboradores. Seu desempenho pode ser realizado por pessoa física ou jurídica, a depender do grau de necessidade da empresa contratante.
O trabalho do DPO aaS une diversas frentes de conhecimento, resultando em um trabalho de gestão das demandas recebidas pelos titulares de dados, agentes de tratamento e órgãos reguladores. Nesse caso, o DPO terceirizado pode sugerir posturas organizacionais ou até, em nível mais aprofundado, mecanismos de mitigação de riscos jurídicos.
Essa modalidade de contratação enxuta as possibilidades de haver conflito de interesses entre o funcionário interno nomeado como encarregado e os demais colaboradores da empresa, além de trazer perspectiva externa sem envolvimento sentimental pelo negócio, fenômeno esse que pode acabar atrapalhando a dinâmica cultural da organização.
As razões de escolha do DPO aaS são várias, porém a mais valiosa é seu nível de entendimento especializado sobre a LGPD, pois nota-se que grande parte dos encarregados terceirizados são empresas de consultoria ou escritórios de advocacia habilitados e preparados para desempenhar o trabalho em questão.
É importante destacar a importância do DPO na modalidade as a Service na resposta aos incidentes de segurança, uma vez que o encarregado é a frente de contato entre a empresa, o cliente e a ANPD. De acordo com o § 2° do artigo 41 da LGPD, o DPO deve interagir, orientar, executar, assessorar, monitorar, cooperar, recomendar e decidir. Sua função é multifacetada, devendo sondar a cena de um incidente pela ótica de todos os stakeholders (ANPD, titulares dos dados e empresa controladora dos dados).
O DPO aaS, como previamente mencionado, pode ser de suma importância em um momento de resposta a incidentes de segurança. Sua externalidade permite a atuação fria e racional, assim como sua especialidade oferece resposta rápida, informada e de fácil acesso à ANPD, conforme inciso II do § 2° do artigo 41.
É exatamente pelo fato de o DPO possuir tanto presença interna na empresa quanto externa que sua imparcialidade deve ser preservada e garantida. Quanto maior sua desvinculação de setores tradicionais da companhia, menores as chances de haver conflito de interesses prejudiciais à resposta ao incidente de segurança.