POR Renato Opice Blum, Renata Opice Blum e Guilherme Vieira* (artigo publicado originariamente na Análise Editorial)

A Lei Geral de Proteção de Dados entrou em vigor no dia 18 de setembro de 2020, com fortes expectativas para grande movimento de adequação à legislação. Até o momento, estima-se que apenas 37% das organizações entraram em conformidade com o texto normativo, de acordo com estudo realizado pela empresa de software “Capterra”, divulgado pela Exame em agosto de 2021.

Por motivos razoáveis de infraestrutura e capital, a maior fatia de adequação à LGPD está entre as empresas de grande porte e as multinacionais. Trata-se de processo organizacional custoso, dinâmico e permanente, pois envolve diversos setores internos e externos da empresa, o que potencializa a atuação conjunta de todos os níveis hierárquicos, desde a operação até o estratégico.

Em razão disso, vê-se a problemática que as empresas de pequeno e médio portes enfrentarão no desenvolvimento do compliance frente à LGPD, considerando o custo, pessoal e/ou de capital, da implementação.

Uma figura importante para o auxílio na adequação à legislação brasileira é o chamado Encarregado, que cumpre papel fundamental na gestão e na operacionalização do Controlador e do Operador frente aos demais sujeitos mercadológicos.

Nesse sentido, é necessário o entendimento acerca da função do Encarregado, sendo ele imprescindível na cadeia de adequação. A LGPD obrigatoriamente elencou a nomeação do Encarregado pelo tratamento de dados pessoais, cargo equivalente ao DPO – Data Protection Officer, previsto na legislação europeia (GDPR).

Em face da importância do Encarregado, a LGPD, em sua Seção II, artigo 41 e parágrafos, discorre acerca “Do Encarregado pelo tratamento de dados pessoais”. O parágrafo 2° indica quais são as atividades do Encarregado:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

É possível afirmar, portanto, que o Encarregado age como um “fiscal” do cumprimento da LGPD, possuindo contato direto com os diversos players de uma corrente de tratamento.

A LGPD, no entanto, não é taxativa na função do Encarregado, ou seja, não limita a sua atuação às hipóteses listadas no artigo 41. Dessa forma, pode-se dizer que o Encarregado possui orientações vagas e gerais de tarefas que deverão ser cumpridas na sua função.

Ademais, a LGPD também não disserta sobre uma forma específica de contratação do denominado popularmente DPO (Data Protection Officer). Nesse sentido, a legislação brasileira não exige que as empresas contratem profissional com conhecimento específico para atuar na tarefa de DPO e não apresenta qualquer vedação para a contratação de um expert no assunto externo ao Controlador de dados.

Observado o dinamismo jurídico do tema, a atuação do Encarregado pelo tratamento de dados pessoais é crucial durante o processo de adequação à LGPD. Sua proatividade é imprescindível para o fluido desempenho da organização nas diversas demandas que surgem no cotidiano das atividades empresariais.

Posto isso, o DPO terceirizado, ou DPO as a Service, é opção bastante comum no ecossistema da LGPD, desenvolvendo papel externo ao agente de tratamento e seus colaboradores. Seu desempenho pode ser realizado por pessoa física ou jurídica, a depender do grau de necessidade da empresa contratante.

O trabalho do DPO aaS une diversas frentes de conhecimento, resultando na gestão das demandas recebidas dos titulares de dados, agentes de tratamento e órgãos reguladores. Nesse caso, o DPO terceirizado pode sugerir posturas organizacionais ou até, em nível mais aprofundado, mecanismos de mitigação de riscos jurídicos.

Essa modalidade de contratação enxuta as possibilidades de haver conflito de interesses entre o funcionário interno nomeado como Encarregado e os demais colaboradores da empresa, além de trazer perspectiva externa sem envolvimento sentimental pelo negócio, fenômeno esse que pode acabar atrapalhando a dinâmica cultural da organização.

As razões de escolha do DPO aaS são várias, porém a mais valiosa é seu nível de entendimento especializado sobre a LGPD, pois nota-se que grande parte dos Encarregados terceirizados são empresas de consultoria ou escritórios de advocacia habilitados e preparados para desempenhar o trabalho em questão.

É importante destacar a importância do DPO na modalidade as a Service na resposta aos incidentes de segurança, uma vez que o Encarregado é a frente de contato entre a empresa, o cliente e a ANPD. De acordo com o § 2° do artigo 41 da LGPD, o DPO deve interagir, orientar, executar, assessorar, monitorar, cooperar, recomendar e decidir. Sua função é multifacetada, devendo sondar a cena de um incidente pela ótica de todos os stakeholders (ANPD, titulares dos dados e empresa controladora dos dados).

O DPO aaS, como previamente mencionado, pode ser de suma importância em um momento de resposta a incidentes de segurança. Sua externalidade permite a atuação fria e racional, assim como sua especialidade oferece resposta rápida, informada e de fácil acesso à ANPD, conforme inciso II do § 2° do artigo 41.

É exatamente pelo fato de o DPO possuir tanto presença interna na empresa quanto externa que sua imparcialidade deve ser preservada e garantida. Quanto maior sua desvinculação de setores tradicionais da companhia, menores as chances de haver conflito de interesses prejudiciais à resposta ao incidente de segurança.

*Renato Opice Blum é advogado e economista; chairman e sócio-fundador do Opice Blum, Bruno e Vainzof Advogados Associados; patrono regente do curso de pós-graduação em Direito Digital e Proteção de Dados da EBRADI; coordenador de cursos sobre Direito Digital e Proteção de Dados da FAAP, EPD e Insper; diretor da Itechlaw; membro do Conselho da EuroPrivacy; juiz do Inclusive Innovation Challenge do MIT; presidente da Associação Brasileira de Proteção de Dados (ABPDados); e vice-presidente da Comissão Especial de Direito e Inovação da OAB/SP.

*Renata Opice Blum é estudante de Direito da FAAP e estagiária do Tribunal de Justiça de São Paulo. *Guilherme Guimarães Vieira é formado em Administração de Empresas, com ênfase em Comércio Exterior pela Universidade Presbiteriana Mackenzie, e estudante do décimo semestre do curso de Direito pela FAAP. É estagiário da área de privacidade e proteção de dados do Opice Blum, Bruno e Vainzof Advogados Associados.