Enquanto na União Europeia mais de 350.000 Data Protection Officers (DPOs) foram registrados pelas empresas sob o escopo da General Data Protection Regulation (GDPR) [1], no Brasil as organizações estão apenas começando a compreender a importância da posição dentro de um Programa de Privacidade.
Apesar de o Encarregado pela Proteção de Dados Pessoais não receber expressamente o papel de líder do programa de compliance em privacidade, esta acaba sendo decorrência lógica da leitura do artigo 50, §2º da LGPD, especialmente quando o legislador incentiva a criação de programas de privacidade pautados no monitoramento contínuo, em avaliações periódicas e que contem com mecanismos internos de supervisão da conformidade.
Os requisitos previstos nesse dispositivo legal apenas repetem boas práticas globais de sistemas de compliance e estão intimamente ligadas à existência de uma função (exercida por uma ou mais pessoas) que execute tais atividades. Quando trazemos essas práticas para o contexto de proteção de dados pessoais, a decorrência lógica é atribuí-las ao Encarregado/DPO, posto que seria incoerente termos um Encarregado para cumprimento das funções previstas no Artigo 41 (basicamente, um ponto focal para a ANPD e os titulares de dados) e uma outra função destinada apenas ao papel de compliance.
Nesse contexto, temos nos deparado com diversas empresas que já começaram a estruturar seus Programas de Privacidade e que, com o decorrer do processo, percebem a necessidade de que estes tenham um “dono”, sem o qual dificilmente o Programa de Privacidade ganha efetividade.
Igualmente comum é, após o início de um projeto de adequação, as áreas de negócio começarem a ter dúvidas no dia a dia sobre como garantir que novos projetos, produtos, processos etc possam ser colocados em prática já estando em conformidade com a LGPD. Ninguém quer trabalhar meses em uma iniciativa que se mostre inviável por conta do contexto regulatório pouco tempo depois. Esse papel de apoio para o negócio é outra atribuição primordialmente realizada pelo DPO.
Porém, um grande desafio surge ao se buscar um Data Protection Officer: onde encontrar alguém que entenda de questões jurídico-regulatórias, compliance, governança e tecnologia para assumir essa função?Soma-se a este problema o fato de que, a depender do tamanho e complexidade da empresa, esse profissional terá uma carga de trabalho considerável nos primeiros meses de trabalho e que depois, com o Programa de Privacidade estruturado, sofrerá uma redução na quantidade de horas dedicadas ao tema. Por fim, claro, o budget é sempre apertado e os prazos agressivos, adicionando mais um elemento de “drama” a esse cenário.
O mesmo desafio é visto na União Europeia, onde, apesar da maior abundância de profissionais de privacidade, passa a ser comum a busca de profissionais que possam atuar de forma terceirizada e assim solucionar todas as peças do quebra cabeças de uma única vez. Isso porque, contratando um terceiro para exercer esse papel, é possível compor um time multidisciplinar, com todas as características necessárias, ganhar flexibilidade para aumentar ou diminuir a carga de trabalho e agilidade para estruturar a posição em pouco tempo.
As atividades de DPO as a Service podem envolver tanto a nomeação como Encarregado pela Proteção de Dados Pessoais, nomeado pela empresa, quanto o apoio a um profissional interno na execução de suas atividades. O rol de atividades que costumam fazer parte deste tipo de contratação é extenso, mas normalmente se concentra em:
Monitorar a conformidade da organização em relação às regras internas e normas de proteção de dados;
Responder requisições de titulares de dados;
Apoiar no desenvolvimento de novos projetos que envolvam o tratamento de dados pessoais; e
Elaboração de avaliações de legítimo interesse e de relatórios de impacto à proteção de dados pessoais.
Importante notar que durante o Europe Data Protection Congress de 2019, Helen Dixon (representante da autoridade irlandesa de proteção de dados) disse que uma das frentes de fiscalização que eles estavam trabalhando era, justamente, a identificação de organizações que ainda não haviam apontado um Data Protection Officer, mesmo quando sujeitas a tal obrigação.
Ainda que em um cenário de ausência da nossa Autoridade Nacional de Proteção de Dados, o DPO pode ajudar a evitar que as empresas estejam expostas a problemas reputacionais ou mesmo a problemas com outras instituições ativas na área de proteção de dados dos cidadãos (como o MPDFT e a SENACON), detectando e mitigando riscos com antecedência e gerando o accountability necessário para que estas defesas tenham sustentação.
Como alento, vale dizer que as empresas brasileiras não estão atrasadas nesta tomada de decisão. Segundo o Privacy Governance Report, publicado anualmente pela IAPP, em 2016 apenas 36% das empresas pesquisadas estavam em busca de um DPO para cumprir os requisitos da GDPR, número que saltou para 64% em 2018. Ou seja, a procura se iniciou pouco antes da entrada em vigor da regulação europeia, tal qual o momento que vivemos atualmente no Brasil.
Henrique Fabretti Moraes
Coordenador da área de serviços para DPO no Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados
[1] https://iapp.org/news/a/study-an-estimated-500k-organizations-have-registered-dpos-across-europe/ |