Hélio Ferreira Moraes / Mauro R. Martins Jr.

Com o advento da LGPD em agosto de 2018, surgiu a obrigação das empresas em atribuírem um encarregado pela proteção de dados, da mesma maneira que na Europa.

Desde então os profissionais de proteção de dados e gestores das empresas se perguntam: quem deve ser o encarregado da proteção de dados?

Tenho acompanhado de perto essa discussão e visto que alguns argumentam que deveria ser um profissional da área jurídica, outros que seria alguém de TI, outros defendem a ideia de um profissional de compliance e ainda outros argumentam que seria melhor um profissional de operações.

Na nossa visão, o profissional que desempenhará a função de encarregado da forma mais adequada será aquele que não só conseguir reunir os conhecimentos multidisciplinares exigidos pela diversidade de aspectos envolvidos, mas também dominar as habilidades essenciais que o desafiarão no dia-a-dia, como demonstraremos a seguir.

Espelhando de certa maneira o GDPR (legislação europeia de proteção de dados), a lei brasileira criou a figura do encarregado, como a pessoa, indicada pelo controlador, que atua como canal de comunicação entre o controlador, os titulares e a autoridade nacional de proteção de dados (ANPD).

Muito tem se falado a esse respeito, mas antes de mais nada é importante entender as diferenças entre o encarregado, figura criada pela LGPD no Brasil e o DPO (Data Protection Officer), previsto na legislação europeia (GDPR).

Pelo GDPR, o DPO deverá ser nomeado quando as atividades da empresa consistirem em processamento de operações com monitoramento regular e sistemático dos titulares dos dados em grande escala ou quando a atividade da empresa envolver o tratamento de dados pessoais sensíveis em larga escala.

No Brasil, a LGPD não especificou as situações particulares de nomeação obrigatória, o que significa que – a priori – todas as empresas que estejam na posição de controlador de dados pessoais deverão indicar um encarregado.  Entretanto, a autoridade nacional (ANPD) poderá ainda estabelecer normas complementares sobre a definição e as atribuições do encarregado, definindo inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

O encarregado pelo tratamento de dados pessoais poderá ser pessoa física ou jurídica, levando-se em conta a alteração promovida na LGPD pela Medida Provisória 869, que excluiu a necessidade de ser pessoa física, o que despertou grande movimentação em consultorias, escritórios de advocacia, dentre outras empresas, que vislumbraram uma janela de oportunidade para um novo grande negócio para os próximos anos – o DPOaaS – encarregado como serviço.

Além disso, nos casos em que o encarregado tiver que ser nomeado, a empresa deverá fornecer a sua identidade e as informações de contato publicamente, preferencialmente no seu website.

Outro ponto importante é a significativa diferença em termos de competência e responsabilidade entre o DPO e o encarregado.

Enquanto na Europa o DPO deve ter um elevado grau de independência, com acesso direto a alta direção da empresa, acesso direto aos titulares, sujeito a compromissos de confidencialidade e não poderá estar em situação de conflito de interesses devido outras funções ou tarefas, no Brasil, as atribuições do encarregado são mais simples, não havendo tanto rigor na definição dos requisitos do cargo, e as suas funções se limitam a:

• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade nacional e adotar providências;
• orientar os funcionários e os contratados sobre as normas de proteção de dados pessoais; e
• executar as demais atribuições determinadas pela empresa ou normas complementares.

Considerando essas diferenças e voltando para a  análise  sobre quem seria o profissional mais indicado para desempenhar o cargo de encarregado da forma mais adequada, a resposta natural parece ser um profissional da área jurídica, que domina as técnicas de interpretação e compreende as leis e seus requisitos, está treinado para compreender a LGPD do ponto de vista do Poder Judiciário e da forma de atuação dos órgãos reguladores e seria capacitado para orientar a empresa no desenvolvimento das políticas e contratos, bem como  aconselhar considerando os limites e responsabilidades legais que poderão recair sobre a empresa e seus executivos.

Todavia, a questão não é tão simples, pois além de conhecer legislação também é extremamente importante verificar a capacidade deste profissional para atuar na operação do compliance da empresa.

Como a legislação brasileira não detalha o perfil profissional do encarregado, um outro profissional também bastante cogitado são os CTOs (Chief Technology Officers) e os profissionais da área de Segurança da Informação, dada sua ascendência sobre a área de tecnologia da informação das empresas.

Embora possa faltar a esses profissionais o conhecimento da legislação, esta não parece ser a questão mais restritiva à sua indicação, pois estes poderiam suprir essa questão com cursos e certificações. Outro ponto seria a falta de domínio das técnicas de interpretação da lei e a visão do ponto de vista do Poder Judiciário e das agências reguladoras que também é uma questão relevante no dia-a-dia e exige muitos anos de experiência prática.

No entanto, a questão mais sensível e que pode inviabilizar a indicação destes profissionais seria a necessidade que eles têm de trabalhar com um orçamento, geralmente limitado, para atender diversas necessidades da empresa. Assim, poderão ficar em posição de conflito entre suportar uma necessidade de privacidade e aprimorar alguma outra necessidade sistêmica da empresa, o que não é recomendável. A ideia é que o encarregado tenha plena independência para priorizar as questões relativas a privacidade, sem gerar um choque com suas outras funções ou tarefas.

A obtenção de certificações é uma questão sensível a ser avaliada, pois embora seja um indicativo da capacidade técnica do profissional, por si só é insuficiente para garantir a capacidade operacional do encarregado em manter o compliance em proteção de dados. Na Europa, onde a designação do DPO é mais rigorosa, além da capacidade técnica, também a experiência operacional do profissional é avaliada. Em outras palavras, é preciso mais do que conhecer a teoria, é essencial ter experiência prática e vivência em situações reais de debate, judicialmente e administrativamente falando, especialmente sobre o direito à privacidade, que é um instituto antigo do direito, sobre o qual os profissionais da área jurídica discutem há anos.

Os profissionais da área de compliance são uma outra possibilidade, que parece interessante, considerando que o objetivo da LGPD é criar uma governança em privacidade, ou seja, a proteção do tratamento dos dados pessoais passaria a integrar as normas corporativas, alcançando a empresa de uma maneira transversal. No entanto, se o profissional de compliance não tiver experiência na prática jurídica, poderá enfrentar as mesmas dificuldades que o CTO ou o profissional de Segurança da Informação.

Algumas empresas também têm cogitado utilizar no Brasil o mesmo DPO apontado em uma outra empresa do grupo no exterior. Entretanto, essa não parece ser uma boa prática de compliance, tendo em vista a distância com os aspectos operacionais da empresa e as diferenças culturais, que podem diminuir a sua capacidade de avaliar os riscos e mover a companhia localmente para incorporar os conceitos de privacy by design e by default, por exemplo.

Acrescente-se a esse caldeirão a necessidade de manter a isenção do encarregado. Portanto, o encarregado não deveria ser a mesma pessoa que coordena os procedimentos operacionais, realiza a auditoria e os treinamentos, e ainda avalia as práticas diárias de privacidade da empresa. Nem tampouco me parece que o encarregado deva ter a natureza de responsável técnico pelos dados, como acontece com engenheiros em projetos de engenharia, farmacêuticos e médicos nas suas respectivas áreas, por exemplo.

Desse modo, a verdade é que o encarregado precisa ser um profissional multidisciplinar, capaz de conhecer e interpretar a legislação de privacidade, lidar com órgãos governamentais, entender aspectos de TI e segurança da informação, transitar em assuntos de compliance, governança e normas corporativas e ainda conhecer a operação da empresa. Além disso, deverá somar a sua isenção e capacidade operacional em direcionar todos esses conhecimentos para mover a empresa para a nova era que estamos entrando, na qual a privacidade ganha um status de valor social a ser efetivamente protegido pelas empresas.

Por fim, vale lembrar que a questão do perfil do profissional, embora importante, não extingue a necessidade da formação de um comitê de suporte ao encarregado, que possa ajudar na operação de compliance em proteção de dados pessoais, em especial nas questões de segurança da informação. O tamanho do comitê poderá variar a depender do volume de dados em tratamento e do tamanho da companhia, podendo ser algo entorno de 2 ou 3 pessoas em companhias médias, chegado a algo como 4 ou 6 pessoas em companhias maiores. O comitê, por ser formado por pessoas de diferentes áreas da empresa, poderá apoiar o encarregado nas implementações de melhorias nos processos de negócios, por estarem mais próximos aos processos.