A verdade que não te contaram sobre DPOs (Encarregado de Dados Pessoais)

Ao longo do tempo, venho observando uma grande quantidade de profissionais da área jurídica e, com maior frequência, da área de Tecnologia da Informação, declamando a todos que são, de fato, especialistas em LGPD e, que, portanto, atuam profissionalmente como Encarregado de Dados Pessoais (Data Protection Officer - DPO). A razão é simples: a Lei nº 13.709/2018 simplesmente não exigiu qualquer espécie de requisito ou certificação para se atuar nesta seara, o que abriu margem para que muitos fizessem da LGPD um ponto extra no currículo. Afinal, através de rápida consulta na Internet, constatamos que a média salarial de um DPO, no Brasil, pode variar de R$ 7.000,00 a R$ 20.000,00, aproximadamente. Absolutamente sedutor, principalmente para advogados, tendo em vista a maior afinidade com a interpretação das legislações.

Não raro, ao procurar as empresas para oferecer meus serviços de consultoria, compliance e diversos outros que envolvem o processo de adequação, sou surpreendido com as seguintes afirmações: "já temos um pessoal da T.I. que faz isso" ou "temos alguns advogados do nosso corpo jurídico que dominam a LGPD".

Você, profissional de TI ou advogado, está mesmo em plenas condições de suportar a empresa a lidar com as obrigações decorrentes da Lei Geral de Proteção de Dados Pessoais? Se a sua resposta, com o mais absoluto grau de honestidade, for "talvez", recomendo fortemente a leitura desse artigo até o final.

O que tenho percebido, realmente, é que muitos gestores sequer sabem com o que estão lidando, não tendo a exata noção daquilo que poderão futuramente enfrentar. Afinal, vamos descortinar algumas verdades: o empresariado, de um modo geral, está mais preocupado em não sofrer multas do que conhecer a sistemática jurídica da proteção de dados pessoais e privacidade e proteger os direitos dos titulares em caso de violações.

Se adotarmos uma interpretação meramente gramatical da lei, concluiremos (com elevado grau de frustração, convenhamos) que o Encarregado pelo Tratamento tem um papel de mero comunicador. Sim, um indivíduo (ou pessoa jurídica, em razão das alterações promovidas pela MP nº 869/2018) que, resumidamente, vai "ouvir" reclamações (dos titulares), receber ordens e "puxões de orelha" (da Autoridade Nacional de Proteção de Dados - ANPD), treinar colaboradores e contratados sobre as melhores práticas, dentre outras atribuições previstas tanto pela empresa-controladora como pela ANPD.

Você, empresário que toma as decisões a respeito do tratamento de dados pessoais de sua organização (sendo, por isso, considerado "controlador"), talvez já saiba que a Lei nº 13.709/2018 (LGPD) estabeleceu como obrigação dos controladores a indicação de um DPO. O artigo 41 é claro: "O controlador deverá (e não"poderá"!) indicar um encarregado pelo tratamento de dados pessoais". Eventuais hipóteses de dispensa ainda não foram objeto de regulamentação pela nossa autoridade de controle.

Não tenho a mínima dúvida de que muitas empresas no Brasil entregaram, às cegas, a função de DPO ao seu corpo jurídico ou ao setor de TI/segurança da informação, seja por recomendação destes próprios funcionários internos, seja por interesse em reduzir gastos evitando contratações de novos profissionais (sim, DPO é caro!), tudo isso sem ao menos compreender a) o que é/faz um DPO, b) quem pode ser um DPO, c) por que contratar um DPO e d) quais as qualificações necessárias para atuar como DPO.

Em tempo: não estou afirmando (nem levando a crer) que tais advogados e profissionais da área de TI agem em suposta má-fé. Mas o que tenho percebido é que muitos desses profissionais parecem: a) não compreender exatamente quais são as reais atribuições de um DPO ou b) estão fortemente vinculados às urgentes necessidades trazidas (e requeridas!) pelas empresas (não sofrer multas), que mais solicitam uma forma de trabalho à curto prazo do que um completo sistema de proteção de dados pessoais e privacidade em todos os aspectos da organização, o que reforça ainda mais a necessidade, a meu ver, de se dar maior preferência a um DPO as a Service (externo/terceirizado), garantindo mais independência em sua atuação. No entanto, este é apenas o meu posicionamento: investir um funcionário interno na qualidade de DPO não é a opção mais apropriada.

Será que as empresas estão corretamente informadas acerca dos seus deveres legais no âmbito da proteção de dados pessoais e privacidade e, consequentemente, cientes das responsabilidades que os DPOs possuem em sua atuação?

Será que, num contexto ideal, se todos os gestores conhecessem a fundo a proteção de dados pessoais, investiriam os seus funcionários, de forma imediata, na condição de Encarregado de Dados Pessoais, sem uma prévia análise mais acurada, compreendendo que contratar um DPO não é "gasto extra" com mais um colaborador, mas sim um dos maiores e mais importantes investimentos que uma organização atualmente pode realizar?

Não, o encarregado de dados não é "figura recente trazida pela LGPD", como alguns costumam falar. Já há menção a esse papel desde meados de 1995, na Directiva 95/46/CE do Parlamento Europeu e do Conselho, que antecedeu o Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation - GDPR) e, consequentemente, a LGPD. Não, o papel do DPO não é apenas servir como ponte de contato ou meio de comunicação entre controlador, operador, titular e autoridade supervisora.

Trata-se de um profissional que necessita possuir sólidos conhecimentos multidisciplinares, mais precisamente no âmbito jurídico, de gestão, governança corporativa e processos, e de softwares e segurança da informação. Isso não significa nem que o DPO deva ser um verdadeiro expert, com absoluto aprofundamento em todas essas áreas, nem um profissional de conhecimentos extremamente superficiais e básicos. O que se busca deste profissional é a sua capacidade de, estrategicamente, articular todos esses conhecimentos, de modo útil, com o objetivo não apenas de "evitar" multas milionárias, mas principalmente de orientar a empresa no estabelecimento de um sistema concreto de proteção de dados pessoais e privacidade em todos os aspectos, setores e departamentos da organização, visando assegurar, como finalidade principal, os direitos fundamentais de privacidade e liberdade dos titulares. Uma forma justa e razoável de demonstrar que o Encarregado de Dados Pessoais atende a estes requisitos é a obtenção de certificações perante instituições credenciadas (ex.: EXIN, IAPP etc.), em que pese, repito, este não ser um requisito essencial para atuação (apesar de o autor deste artigo ser fortemente a favor da certificação).

Ainda, deve o DPO ter um perfil comunicativo, com boa desenvoltura na forma de se expressar (algo crucial na hora de lidar com fiscalizações e mesmo com treinamento de pessoal), ser um indivíduo de fácil acesso (tanto online como presencialmente), sabendo dialogar com todos os níveis de gestão da organização, inclusive com a alta administração (sem qualquer tipo de temor em razão da posição hierárquica), reconhecendo as necessidades de cada setor e tendo a capacidade de lidar com os desafios eventualmente surgidos. Neste sentido, importante destacar que o DPO raramente (ou talvez nunca) atuará sozinho. O trabalho de conformidade, para ser realizado com excelência, deve ser feito de modo conjunto, articulado, em equipe.

Engana-se a organização que acredita estar em plena conformidade tão somente por possuir políticas de privacidade, políticas de proteção de dados pessoais e política de cookies, bem como, eventualmente, um termo de consentimento atualizado. Se o checklist se resume a estes pontos, sinto informar que o resultado da fiscalização da ANPD será catastrófico.

Em primeiro lugar, o DPO deve estar ciente de que o processo de adequação não envolve apenas a LGPD - legislação, aliás, por demais generalista. Trata-se de um plano de conformidade que envolve todas as normas de proteção de dados pessoais e privacidade eventualmente aplicáveis, incluindo as leis setoriais. Não é só a LGPD que regulamenta o tratamento de dados pessoais, mas também o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei de Acesso a Informacao, alguns Decretos Federais, Regulamentações do BACEN, CVM, ANVISA etc. Você, que se autodeclara DPO, tem conhecimento e domínio destas legislações, que variam conforme o tipo de atividade da empresa em que trabalha?

Em segundo lugar, deve o Encarregado de Dados Pessoais ter habilidades para orientar a realização de um inventário dos dados pessoas que circulam na empresa, identificando a) de onde eles vêm, b) qual a finalidade do tratamento, c) onde são armazenados (e por quanto tempo), d) com quem são compartilhados, e) como (e quando) são excluídos, f) se são dados pessoais comuns ou sensíveis, dentre outros, além, obviamente, de saber apontar e justificar a correta base legal para o tratamento e indicar as categorias dos titulares de dados pessoas, inclusive a dos empregados das empresas. Sim! Você, DPO, tem conhecimento dos dados pessoais de colaboradores que são coletados em uma relação de emprego? Este mapeamento é absolutamente necessário para que possam ser identificadas as medidas de segurança porventura aplicáveis, daí a necessidade de se conhecer bastante sobre ferramentas de Data Mapping e Data Discovery. Acrescento, neste aspecto, a necessidade de o Encarregado de Dados ter conhecimento de quando e como realizar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), bem como as normas internacionais que orientam a sua dinâmica, haja vista que será ele (o relatório) que guiará a empresa controladora neste aspecto quando a ANPD assim determinar (art. 38, LGPD). É neste momento que serão conhecidos os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Em terceiro lugar, o DPO precisa saber esquematizar/esboçar e idealizar um meio/procedimento para que os titulares possam, acima de tudo, exercer os seus direitos (art. 18, LGPD), inclusive de forma facilitada, sem qualquer tipo de burocracia, indicando as obrigações dos controladores. Novamente, insisto na importância de se terceirizar o trabalho do DPO, pois em diversas situações, o Encarregado que trabalha como funcionário interno (empregado) da empresa não se sente à vontade para apontar os erros da organização para o seu próprio patrão. Há um verdadeiro temor de sofrer represálias.

Em quarto lugar, conforme já mencionado anteriormente, é extremamente necessário que o DPO engaje os mais variados componentes da organização na proteção de dados pessoais e privacidade, ajudando a promover uma verdadeira mudança na mentalidade e na cultura de todos os colaboradores e gestores para assimilar a matéria nos seus mais pormenorizados aspectos, devendo garantir que proteção de dados pessoais e privacidade não seja um objetivo secundário, mas faça parte da natureza de todos os processos. Aliás, você, enquanto DPO, conhece os 7 princípios do framework Privacy by Design?

Digo, também, que a formulação de treinamentos, realização de cursos, palestras e workshop é fundamental. Logicamente, isso não significa que o Encarregado deva ser um professor, mas certamente serão exigidas habilidades mínimas de oratória e de didática, uma vez que o tema é complexo, repleto de nuances técnicas que carecem de uma explanação bem conduzida. Você, DPO, está preparado para ministrar treinamentos?

Em quinto lugar, como também já citado, deve o DPO estar atento aos procedimentos de reporte em caso de violação de dados pessoais, sabendo identificar como e quando será necessário realizar notificações e, em havendo necessidade, descobrir quem deverá ser o destinatário da comunicação (titulares e/ou ANPD). Você, DPO, está preparando para agir estrategicamente em uma situação de vazamento de dados pessoais?

Em sexto lugar, é importante que o DPO tenha conhecimentos de segurança da informação, mais precisamente sobre a ISO/IEC 27001 (sistema de gerenciamento de segurança da informação) e ISO/IEC 27002 (controles e objetivos referentes às boas práticas de controle de segurança da informação), compreendendo, ainda, as principais medidas técnicas e organizacionais que devem ser adotadas dentro das organizações para que os dados pessoais estejam protegidos contra acessos não autorizados e contra situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Você, DPO, possui alguma noção sobre criptografia, anonimização, pseudonomização e minimização de dados? Sabe a real necessidade de se adotar uma política de mesa limpa? Tem noções de como orientar a segurança física do ambiente? E na segurança operacional? Saberia lidar com phishing e engenharia social, alertando os colaboradores quando da abertura de e-mails, dentre outras atividades?

Em sétimo lugar, é essencial que o Encarregado pelo Tratamento de Dados Pessoais saiba lidar com uma política de privacidade e uma política de proteção de dados pessoais, estando atento, ainda, aos contratos com eventuais fornecedores (sempre atualizados), uma vez que a empresa-controladora até pode observar a conformidade, mas as empresas-operadoras não. Neste caso, será a primeira entidade quem responderá pelo prejuízo. Você, DPO, está atento às responsabilidades dos fornecedores?

Resumidamente, são essas as atribuições exigidas de um real DPO no dia a dia. Sob meu ponto de vista, a maioria das organizações não tem conhecimento dessas informações e muitos daqueles que fazem constar "Encarregado de Dados Pessoais" no currículo talvez também não tenha certo grau de noção das responsabilidades que este profissional atrai para si. Deste modo, vamos ficar atentos, pois os prejuízos, como sabemos, não são apenas as multas que variam de 2% do faturamento da organização até o limite de 50 milhões de reais por infração. O aspecto reputacional é de extrema importância e pode pesar muito mais na balança. E não falo apenas da reputação da empresa, mas também do profissional DPO que realmente se diz apto a ir à campo.