Em uma tarde usual de trabalho em um escritório de advocacia, de repente, um e-mail deixa o sócio em alerta. Uma empresa multinacional com sede no Brasil, cliente do escritório e que faz negócios na União Europeia informa que precisa apontar um Data Protection Officer - DPO. Afinal, o General Data Protection Regulation (GDPR) tem aplicação extraterritorial e, para cumprir com seus termos na unidade do Brasil, o escritório está sendo acionado. Surgem, assim, os primeiros casos de apontamento de DPOs no Brasil.
Além disso, empresas multinacionais com estabelecimentos na União Europeia e que tinham presença no Brasil começaram a estruturar ou aprimorar suas áreas de Privacidade e Proteção de Dados em razão da nova obrigação de apontamento de DPO prevista no GDPR e então essas estruturas começaram a ser replicadas ou estendidas ao Brasil.
Mas afinal, quem é esse tal de Encarregado de Proteção de Dados, ou DPO?
Essa pergunta já deve ter sido feita por muitos empresários e executivos que se depararam com esta nova figura e para melhor entendermos o tema, devemos nos socorrer dos termos do GDPR. Na Europa, o DPO tem função mais abrangente do que no Brasil, se compararmos as disposições do GDPR com as da LGPD.
O papel do DPO, previsto no próprio GDPR, é o de realizar recomendações ao controlador ou ao operador e aos seus empregados que realizem tratamentos de dados sujeitos ao GDPR; monitorar compliance com o GDPR e com as políticas do controlador ou operador relativas à proteção de dados pessoais; realizar treinamentos dos empregados envolvidos nos tratamentos de dados; realizar recomendações com relação ao Relatório de Impacto à Proteção de Dados e monitorar seu andamento; cooperar com a autoridade nacional; servir de ponto de contato com a autoridade nacional.
No Brasil, a previsão legal a respeito do DPO, embora semelhante, não é tão abrangente. Com efeito, o papel do DPO segundo a LGPD seria estabelecer canal de comunicação com titulares e com Autoridade Nacional de Proteção de Dados (ANPD); orientar empregados do controlador ou operador quanto aos tratamentos de dados e realizar demais atividades determinadas pelo controlador ou operador.
Um dos pontos que se espera muito que a ANPD regulamente no Brasil é justamente quais tipos e tamanhos de empresas devem ter um DPO. Essa previsão ainda não existe por aqui e hoje, no limite, um comércio bem pequeno nos confins do país que realize tratamento de dados pessoais precisaria ter um DPO.
Quais empresas devem apontar um DPO?
Na Europa, essa situação já está endereçada: devem apontar DPOs as entidades públicas de qualquer natureza independentemente do tipo e volume de dados que tratem e, no âmbito privado, as entidades que tenham como atividade fim o monitoramento sistemático de indivíduos em larga escala ou que façam tratamento de dados pessoais sensíveis em larga escala.
O GDPR não apenas traz a regra, mas informa também os critérios que devem ser usados para, na prática, direcionar ações. Além disso, a União Europeia possui órgãos de interpretação de normas e o Article 29 Working Party elaborou orientações sobre distintos temas, entre eles a atuação do DPO.
Assim, para buscar entender os conceitos de tratamento de dados em larga escala e monitoramento sistemático, para finalmente entender se a atividade de uma empresa requer a nomeação de um DPO, podemos inicialmente verificar os Considerandos 91 e 24 do GDPR, como proposto pelas Guidelines on Data Protection Officer (‘DPOs’) do Article 29 Data Protection Working Party.
O Considerando 91, para fins de avaliação sobre o cabimento da elaboração do Relatório de Impacto à Proteção de Dados ou Data Protection Impact Assessment (o DPIA), entendeu que o tratamento em larga escala seria aquele que visasse tratar uma quantidade considerável de dados em grande região geográfica, envolvendo alto número de titulares.
Já o Considerando 24 esclarece que o monitoramento sistemático de indivíduos corresponderia à análise do seu comportamento pela internet ou fora dela para fins de formação de perfil de usuário, especialmente com a finalidade de utilizar para fins de publicidade direcionada.
Na Europa, ainda que uma empresa não se encaixe nos critérios acima, ela pode optar por nomear um DPO sendo que, neste caso, deve cumprir todos os requisitos legais relacionados a esta atividade.
E o que fazer no Brasil, em que não temos ANPD e temos uma lei cuja vigência que se assemelha ao experimento do gato de Schrödinger? Como saber se deve ser nomeado DPO ou não?
Para responder a estas perguntas, talvez seja um bom cenário concentrar-se em dois pontos:
- Se o negócio da empresa tratar massivamente de dados e não se enquadrar em nenhuma das exclusões da LGPD, então pode ser uma boa ideia apontar um DPO. Por exemplo: uma empresa de médio porte que seja parte do ecossistema de mídia programática será uma forte candidata a cair na regra da obrigatoriedade de ter um DPO.
- Caso a empresa, especialmente de médio e pequeno porte, precise se adequar à LGPD, deverá compartimentar seus problemas e começar se concentrando no projeto de adequação.
Afinal, para dar andamento ao projeto de implementação da LGPD, devem ser designados profissionais que possam trabalhar conjuntamente no projeto, oriundos de diferentes áreas, como TI, Jurídico e Segurança da Informação. O trabalho de adequação pode ser iniciado e pode ser inclusive constituído um comitê para revisão e tratamento das questões relativas a privacidade e proteção de dados.
Com efeito, a falta de parâmetros é uma realidade e, considerando que a LGPD é uma lei baseada no risco, se sopesarmos eventuais fragilidades em relação ao cumprimento da lei, a falta de apontamento de um DPO vai ser um problema de menor importância se a companhia, apesar disso, tiver estabelecido uma governança para realizar a adequação.
Nessa mesma linha, outro tema sobre o qual vale pensar é que se uma empresa se organiza em torno de buscar conformidade com a LGPD, entre os muitos profissionais envolvidos poderão surgir opções de candidatos a nomear como DPO: pessoas que tenham abraçado o projeto, estabelecido relacionamento com as diferentes áreas da companhia, estudado e encontrado caminhos junto com seus demais interlocutores podem, enfim, vir a ser os indicados a DPO.
De todo modo, se a organização, não obstante a falta de parâmetros, considera que deve constituir um DPO em razão da natureza de sua atividade, a medida será certamente útil para a companhia e já poderá ser iniciada atuação com base nas premissas hoje existentes na LGPD. O que se deve sempre ter em mente é que a atuação do profissional que atuar como DPO poderá sofrer variações a partir da edição de normas futuras pela ANPD.
Vou nomear DPO. Mas quem?
O conjunto de medidas destinadas a proteger a privacidade e a proteção de dados de uma organização é multidisciplinar. Afinal, para conduzir a companhia no caminho da adequação, além da avaliação jurídica, é necessário ter outros tipos de diagnóstico, como identificar os fluxos de dados mais críticos para a companhia, as salvaguardas de segurança da informação para proteger os ambientes, informações técnicas sobre onde se encontram as principais bases de dados da companhia e como os repositórios de dados se comunicam, avaliar quais as ferramentas de proteção de dados que são mais adequadas ao ambiente tecnológico da empresa, entre tantos outros.
Não existe um indivíduo com todas essas respostas. Esse profissional seria, portanto, alguém da área Jurídica ou da área Técnica, TI ou Segurança da Informação. Caberá à empresa optar pelo profissional de uma dessas áreas, devendo ser desenvolvidas e treinadas as demais áreas do conhecimento.
Deve ser relevante na nomeação de um DPO - embora não mencionado expressamente na LGPD - o fato de que ele não deveria cumular essa função com outra que defina os tratamentos de dados, porque isso poderia gerar conflito de interesses. Afinal, o DPO é uma figura que tem papel de recomendação de certas práticas à companhia e que por princípio deve manter sua independência.
O projeto de adequação à LGPD cruza as mais diversas áreas da companhia e é preciso da colaboração dos diferentes atores para que um projeto de adequação tenha êxito, ou pelo menos possa ser iniciado.
Tendo sempre em mente o contexto de que hoje realmente não há regulamentação que estabeleça parâmetros, outra forma de endereçar o apontamento do DPO é a contratação do chamado "DPO as a Service", ou seja, a terceirização da atividade.
Este pode ser um elemento interessante, tanto em razão de restrições orçamentárias como também em virtude da expertise que os DPOs terceirizados poderão ter.
Para prestar estes serviços, entretanto, seria recomendável que as equipes contratadas realmente não tivessem qualquer conflito de interesses, apontando ainda um ponto focal a ser contactado pela organização que o contratar, no tratamento dos temas relacionados ao serviço.
A terceirização é uma ferramenta útil, que permite não apenas que a atuação do DPO em si seja contratada, mas também facilita a contratação de treinamentos e ferramentas que auxiliem a empresa em sua jornada de adequação, além de se poder contar com grupos de profissionais especializados nas áreas correlacionadas.
A responsabilidade do DPO e do Controlador ou Operador
Em qualquer dos cenários, não há responsabilidade pessoal do DPO em relação às questões envolvendo tratamento de dados e que venham a ser fiscalizadas pela ANPD ou por outros órgãos da Administração Pública. Essa responsabilidade é do controlador ou operador, que tomarão as decisões sobre os tratamentos de dados.
O DPO, por sua vez, terá um papel de recomendar boas práticas de governança e privacidade e apontamento de risco para a companhia. Caberá ao controlador ou ao operador tomar as decisões com base nessa recomendação e considerando, ainda, o apetite a risco dessa empresa.
Apesar da possibilidade de terceirização das atividades do DPO, o risco não pode ser terceirizado ou compartilhado com o escritório que vier a prestar esse serviço, dada a natureza do papel do DPO.
DPO e a aderência à LGPD
O DPO é considerado peça importante da aderência de uma companhia à LGPD. Como colocado por Thomas J. Shaw, o DPO é a pedra angular da accountability, ou seja, da satisfação que a companhia deve dar sobre os tratamentos de dados que realiza. O DPO será quem realizará as recomendações e orientações de modo tal que as conexões necessárias à criação e manutenção das ferramentas, dos processos e da governança de privacidade e proteção de dados da companhia sejam realizadas.
O mesmo autor ainda dá um exemplo, mencionando que a independência do DPO é um mastro central sob uma lona apoiada em vários pilares: se ela pender para qualquer lado, a lona poderá cair.
Seja como for, a nomeação do DPO é apenas um dos muitos pontos de compliance com a LGPD e, se a companhia iniciar o processo de adequação, muito vai ganhar, inclusive com o amadurecimento necessário ao seu posicionamento quanto à escolha do seu próprio DPO.