DPO: será ele o salvador dos dados pessoais?

Na era digital, a proteção de dados é mais que uma prioridade. Estimulados pelo General Data Protection Regulation (GDPR), países em todo o mundo estão elaborando leis de dados próprias, incluindo China, Índia, Coréia do Sul e muitos outros na Ásia, África e América do Sul. No Brasil, a Lei 13.709/2018 (alterada pela Lei 13.853/2019) , a Lei Geral de Proteção de Dados (LGPD), está prevista para entrar em vigor em agosto de 2020.

Tanto o Regulamento Europeu GDPR como a Lei Brasileira LGPD exigem a figura de um encarregado de proteção de dados, conhecido como DPO (Data Protection Officer). Dada a necessidade de adaptação das empresas às determinações da lei, o DPO é um dos profissionais mais cobiçados e valorizados no momento e continuará assim por muitos anos com o aumento do número de países adotando leis de privacidade de dados.

Mas, quem deve ser o encarregado de dados pessoais, ou melhor, o DPO? A Lei brasileira acabou sendo menos exigente que a europeia no sentido de não trazer requisitos específicos para formação do DPO, mas entende-se que é recomendável que tenha conhecimentos sobre a regulamentação e experiência na realização das atividades que a lei descreve como sendo características da função de DPO, tais como: a) receber reclamações e comunicações dos clientes; b) prestar esclarecimentos e adotar providências; c) receber comunicações da Autoridade Nacional (ANPD); d) ser o porta-voz e interlocutor da instituição para resposta à crise de imagem e incidentes relacionados à privacidade de dados; e) Deve ainda mapear em relatórios onde e de que maneira são utilizados os dados desses clientes nas empresas; f) realizar auditorias para assegurar que os uso dos dados está em conformidade com a lei; g) orientar funcionários e os contratados da entidade a respeito das práticas de proteção de dados pessoais sendo um disseminador do tema e h) executar demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Diferente de outras regulamentações, a figura de um DPO é realmente necessária como um profissional que irá centralizar a discussão sobre a conformidade à nova lei e irá coordenar a implementação das melhorias bem como acompanhar a evolução do tema junto da instituição, do mercado e da sociedade, tendo uma atuação relevante na fase de adaptação e nas futuras atualizações, pois a lei precisará amadurecer e sofrerá contextualizações conforme as realidades de cada setor. Um novo momento exige um novo posicionamento e uma grande mudança de cultura. E isso deve gerar um impacto social e econômico nas instituições. Impacto esse tão profundo como foi na época da criação do Código de Defesa do Consumidor, por exemplo. Estamos realmente vivendo um momento em que se desenham novas dinâmicas. Por isso, a necessidade de um DPO.

Pesquisa do IAPP estima que 500 mil organizações tenham registrado DPOs em toda a Europa. No mundo temos mais de 7,2 mil profissionais que exercem essa função especificamente. As empresas estão indo na direção certa, mas ainda não têm a organização e os recursos para atender às solicitações e garantir a conformidade.

Uma reflexão, porém, se faz necessária. Toda instituição precisa de um Encarregado (DPO)? Deveria precisar? A primeira coisa a resolver não é quem deve ser, mas sim, como deve ser. A responsabilidade é muito grande. Logo, qual o melhor modelo de governança de dados pessoais a ser adotado e como deve ficar encaixada a figura do DPO dentro da organização?

Suas atribuições vão além de um profissional especializado em dados, cibersegurança ou direito digital. Este papel híbrido torna hoje o DPO quase um super-herói, um salvador dos dados pessoais. Por isso, muitos têm buscado algum tipo de formação direcionada ou curso de atualização e também obter alguma certificação que possa contribuir para trazer mais capacitação para o exercício da função.

Portanto, seria recomendável que o DPO pudesse reunir conhecimentos técnicos, jurídicos e habilidades analíticas e de comunicação, podendo assumir isso em formato único (em um único profissional) ou misto (com mais de um profissional) de interno e externo, seja ele fixo ou as a service (on demand), exclusivo ou compartilhado (DPO share) ou em uma composição através de um comitê multiárea (multidisciplinar para atender todas as atribuições que a lei exige). Ou seja, um profissional peculiar e multifacetado. Neste primeiro momento, as empresas podem ir pelo caminho mais fácil: nomear um profissional que já tenha um perfil de familiaridade com governança de dados e cibersegurança ou com Compliance regulatório para assumir tal responsabilidade.

Dependendo do porte da instituição, seu setor de atuação e o volume de tratamento de dados pessoais (e se trata dados pessoais sensíveis), receio que apenas um profissional isolado como o DPO interno não atenda suficientemente e não esteja habilitado ou capacitado para exercer todas as atividades da função. Já terceirizar completamente um DPO externo pode se mostrar uma estratégia arriscada, já que a ausência e a falta de valor agregado ao DPO interno fazem falta. Outro perigo é não ter comprometimento suficiente para treinar o interno para torná-lo apto a tomar decisões sobre as principais questões ordinárias. Ter um certo nível de autonomia e independência aqui é fundamental.

Um bom caminho para identificar qual o perfil de instituição que mais precisará de todo o suporte de um DPO, no modelo força-tarefa, híbrido, numa composição de interno mais externo com formato de comitê, é distinguir o seguinte:

- Se a instituição é pública ou privada

- Se trata um volume expressivo de dados pessoais

- Se possui um modelo de negócios com muito compartilhamento de dados pessoais com terceiros (terceirização ou parcerias)

- Se trata dados pessoais de titulares consumidor final (relação mais B2C)

- Se trata dados pessoais sensíveis

- Se realiza internacionalização de dados pessoais

- Se faz uso de tecnologias disruptivas

- Se utiliza bases legais em que há necessidade de realizar relatórios de impacto de proteção de dados pessoais

- Se utiliza muitos recursos de mobilidade, nuvem, APIs ou que possam ter um aumento de riscos de cibersegurança em termos de perímetro

No caso do Brasil, em princípio, pelo que está na lei, todos os agentes precisarão ter um encarregado. É obrigatório para Instituição Pública e também para Controladores e Operadores, conforme arts. 4º e 5º. Cabe à Autoridade regulamentar a atividade do encarregado, podendo ainda vir, no futuro, distinguir situações onde ele não seja exigido como ocorre no GDPR. Aqui no país poderia ser considerado algumas hipóteses diferenciadas pelo menos para alcançar cenários como de Startup ou Pequena empresa com poucos funcionários ou que não faça uso de dados pessoais sensíveis. Mas isso caberá à ANPD regulamentar. Vamos ter que ficar de olho.

Dra. Patricia Peck Pinheiro, advogada especialista em Direito Digital, Data Privacy e Cyber Security