Com o advento da legislação relacionada à proteção de dados, é certo que as empresas detêm necessidade premente de estabelecer programas de compliance com foco em segurança da informação. Devem, portanto, adotar estratégias para incrementar seus cuidados com armazenamento de dados, a fim de proteger seus clientes de invasões e vazamentos. O DPO é figura atuante nessa implementação de novas diretrizes.
A Lei Geral de Proteção de Dados, LGPD, traz, no inciso VII, de seu artigo 5º, a definição de encarregado, qual seja, “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Assim, temos que, em termos de legislação nacional, o “Data Protection Officer”, da GDPR, denomina-se encarregado de dados.
O DPO, é, sem dúvida, um dos institutos mais controvertidos trazidos pela LGPD, tendo gerado inúmeros questionamentos a respeito, sobretudo, da possibilidade de indicação de pessoa ou empresa para a posição, das atividades desempenhadas, bem como das responsabilidades a serem suportadas em casos de desconformidades legais.
Em princípio, é de se ter em conta que o encarregado pode ser pessoa física ou jurídica, integrante ou não da estrutura da empresa, pelo que é totalmente possível que as companhias optem por terceirizar os serviços a serem realizados pelo DPO. Nesse caso, as atividades poderiam ser realizadas por empresas de consultoria, de tecnologia da informação ou, até mesmo, por escritórios de advocacia especializados em proteção de dados.
No caso da opção por indicar pessoa integrante da estrutura empresarial, importa considerar que é perfeitamente possível o acúmulo de outras atividades – atuação nos setores de TI ou Jurídico, por exemplo – desde que sejam-lhe garantidas independência e autonomia para o desempenho da função de DPO.
A atuação do DPO deve ser pautada em dois pilares principais: transparência e responsabilidade. Por transparência, deve-se entender por imprescindível que sejam prestadas informações específicas acerca de quais dados a empresa coleta e qual utilização será feita desses dados. A responsabilidade, por sua vez, determina que o profissional deve zelar para que o tratamento desses dados seja realizado de maneira absolutamente segura e ética.
Por determinação legal (artigo 41, §1º, Lei 13.709/18), a indicação do encarregado deve ser pública, com divulgação de sua identidade e contato, de forma clara e objetiva, de preferência no sítio eletrônico da empresa/controlador.
Relativamente às funções exercidas pelo encarregado, a própria definição legal já explicita que este deve atuar como ponte entre o controlador e os titulares de dados, bem como entre o controlador e a Autoridade Nacional reguladora.
Assim sendo, listamos algumas atividades a serem desenvolvidas no cargo: aceitar reclamações e comunicações provenientes dos titulares de dados; prestar esclarecimentos e adotar providências, sempre quando solicitado; receber comunicações advindas da Autoridade Nacional acerca do tratamento de dados; orientar funcionários da empresa, assim como outras contratadas, a respeito das práticas para proteção de dados; além de atuar executando orientações do controlador acerca do tratamento dos dados colhidos, bem como em observância a diretrizes legais a esse respeito.
Pode-se concluir, portanto, que o DPO é espécie de profissional interdisciplinar, que necessita de conhecimento a respeito das legislações de segurança da informação nacional e internacional. Bem assim, deve atuar de maneira integrada ao setor de tecnologia da informação da empresa, no intuito de eliminar eventuais brechas nos sistemas de segurança e, assim, evitar vazamento de dados.
Não há, até o momento, previsão em legislação, relacionada à necessidade de formação obrigatória e específica para atuação como DPO. Todavia, o §3º, do artigo 41, da LGPD, traz previsão no sentido de que caberá à Autoridade Nacional implementar normas complementares sobre a definição, a atuação e as atribuições do encarregado.
Importante considerar, no que concerne à eventual circunstância de vazamento de dados, que é dever do encarregado orientar a empresa/controlador, para que esta faça a comunicação do ocorrido aos titulares de dados, com a maior brevidade possível. A LGPD não traz previsão expressa a respeito do prazo de comunicação em situações como a descrita, pelo que se orienta sejam observadas as disposições da GDPR a esse respeito, que prevê que a comunicação deve ocorrer em até 72 horas do vazamento dos dados.
Por fim, existe intenso debate a respeito das responsabilidades a serem atribuídas ao DPO, em caso de vazamento de dados, sobretudo, em face das pesadas sanções impostas pela legislação.
A princípio, é certo que o encarregado não pode ser responsabilizado pela aplicação de sanção ao controlador em função de violação de disposições da LGPD. Isto porque, a função do DPO é, essencialmente, consultiva. Assim sendo, suas atividades e ações decorrem de orientação do controlador, nas operações de tratamento de dados.
Todavia, o DPO pode ser responsabilizado em casos excepcionais, quando comprovada negligência, imprudência, imperícia ou dolo em ação adotada, quando em desconformidade com as disposições legais.
A questão da responsabilização e o caráter vultuoso das sanções previstas em legislação deu margem, inclusive, à criação de diversos tipos de seguro, para defender o DPO e as empresas, como apólices cobrindo hipóteses de responsabilidade por privacidade, responsabilidade por segurança de rede, responsabilidade sobre conteúdos eletrônicos, ciberextorsão, perdas de ativos digitais, dentre outros.
Com a Lei Geral de Proteção de Dados em vigor desde o dia 18 de setembro último, é ainda mais urgente que as empresas compreendam a necessidade de adequar sua atuação à legislação. Indicar um DPO é, portanto, movimento crucial, para o início de uma postura comprometida com a cultura de proteção de dados e o novo marco legal vigente.
Esse artigo foi originalmente publicado na Revista Digital Direito do Trabalho em Foco - 4a. Edição. Clique aqui para acessar o conteúdo completo, que apresenta outros artigos elaborados por especialistas da RMM sobre os aspectos trabalhistas da LGPD.