Diante da iminente entrada em vigor da Lei Geral de Proteção de Dados (Lei 13.709/18 – LGPD) que aguarda a sanção do Executivo, chama muito a atenção no feed de notícias das redes sociais e outros meios de comunicação dos escritórios jurídicos e consultorias, muitas ofertas, algumas delas até “patrocinadas" oferecendo cursos de como virar um DPO (Data Protection Officer) no Brasil. Curiosamente a lei brasileira não fala expressamente sobre DPO, em verdade o termo é uma designação estrangeira fixada pela General Data Protection Regulation (EU GDPR). Muitas questões surgem, afinal DPO e encarregado são profissionais semelhantes? Há espaço para inovar e flexibilizar o campo de atuação deste profissional da proteção de dados no Brasil?
Vale
lembrar que muitas questões técnicas da LGPD ainda não foram definidas,
inclusive a lei atribui esta competência para a Autoridade Nacional de Proteção
de Dados (ANPD) – recentemente estruturada como órgão de governo - , como no
caso da definição das hipóteses de comunicação e uso compartilhado de dados
entre pessoas jurídicas, ou ainda acerca da possibilidade de definir as
atribuições e hipóteses de dispensa do encarregado. Hoje, portanto, não se sabe
ao certo quais são os requisitos ou características mínimas necessárias para
exercer as atribuições do encarregado no país.
Devemos
aguardar a regulamentação pela ANPD? O mercado sinaliza para outra direção e
indica que o espaço em relação à atuação do encarregado é plural e em
construção, o que não implica necessariamente em importar e repetir as
experiências estrangeiras. É possível defender uma atuação específica deste
profissional considerando as particularidades da sociedade brasileira, na qual
parcela da população ainda enfrenta seríssimos problemas de acesso à banda
larga e aos distintos serviços públicos e privados disponíveis na rede,
adiciona-se ao cenário a dificuldade de assegurar na prática as liberdades
civis nesses ambientes, como a própria privacidade. Este é um debate que a ANPD
deve levar adiante e consultar a comunidade no momento de elaborar as normas complementares,
além é claro de evitar os processos de captura regulatória.
Do
ponto de vista prático, existem boas razões (jurídicas e técnicas) para a
nomeação de imediato do encarregado no Brasil – a exemplo de alguns países
sul-americanos como é o caso de Uruguai, que recentemente ditou a Resolução
44/020 de 21 de julho de 2020. Primeira razão decorre do próprio texto da LGPD,
que estabelece uma série de obrigações para as empresas controladoras dentre as
quais se destaca a nomeação do encarregado. A LGPD define a figura do
encarregado como o responsável pela orientação sobre o tratamento e o
monitoramento da implementação de medidas protetivas aos dados pessoais,
indicado pelo controlador e que atua como canal de comunicaçãoo perante a ANPD
e os titulares dos dados. Como intermediador desta comunicação, o encarregado
precisa compreender as demandas de todos os lados para propor e orientar os
colaboradores, funcionários e contratados da empresa sobre a melhores práticas
a serem tomadas para viabilizar o tratamento de dados pessoais. A segunda razão
derivada da primeira é que o encarregado opera como um dos principais
mecanismos para a efetiva mudança cultural de fundo pressuposta pela legislação
no ambiente corporativo.
Tal
avaliação é muito importante para o profissional que pretende avançar na
formação no campo da proteção de dados e privacidade, sobretudo diante de
tantos cursos disponíveis no mercado que já tratam sobre DPO. Para além de
apresentar as práticas estrangeiras, será que estamos preparados para ensinar e
discutir os desafios locais ao implementar uma legislação tão importante?
A
compreensão dogmática e técnica da segurança da informação precisa estar
vinculada ao contexto social da pandemia que enfrentamos e dos problemas dos
sujeitos subintegrados ao sistema jurídico no país, que lida diariamente com os
efeitos de restrição de liberdade tendo em vista a incapacidade estatal de
cumprimento e proteção dos dados. Basta pensar no caso do mecanismo
implementado para o pagamento do auxílio emergencial da Caixa Econômica
Federal, que exigiu como regra geral o cadastro por meio de aplicativo e,
posteriormente, a própria empresa pública teve dificuldades de implementar o
auxílio. O resultado foi o bloqueio de 1.303.127 milhão de cadastros por
possíveis fraudes diante da operação de hackers. Muitos necessitados ficaram
sem o atendimento devido e tiveram seus dados expostos a partir da
implementação de medidas pelo governo. Este caso revela que a tarefa não é
fácil para ninguém, o que reforça a importância do papel do encarregado na
sociedade brasileira para além da sua expertise técnica e jurídica.
Não
obstante às discussão apresentadas sobre a formação de encarregados no país, é
possível propor também múltiplas configurações em relação ao perfil deste profissional
diante dos mercados. O encarregado pode ser sim designado dentro da mesma
empresa, por exemplo, vinculado ao corpo diretivo, ao CEO, ao chefe do
departamento do TI, de RH, uma pessoa física, mas também pode ser um terceiro
externo, fora da empresa, seja pessoa física ou jurídica. Esta decisão vai
depender dos interesses do controlador, responsável por nomear o encarregado.
Percebe-se, assim, que esta variedade é uma contribuição muito interessante
para o desenvolvimento da trajetória desta nova profissão no Brasil. Aliás, a
depender do volume da demanda e do porte da empresa, é possível cogitar como já
acontece com a GDPR que um grupo de empresas aponte um único DPO para
representá-las. Às vezes as tarefas são tantas e diversas que, inclusive, pode
ser necessário ter um grupo de profissionais em rede que ocupem esse lugar,
especialmente se a empresa tiver atividades em outros países. Não existe uma
única configuração ou modelo a ser seguido.
Uma
atenção final deve ser enfatizada neste processo de escolha de um encarregado
já que é imperioso evitar ao máximo possíveis conflitos de interesse no
desempenho das atribuições dentro da empresa. Afinal, este profissional deve se
manifestar de modo imparcial em relação ao monitoramento e implementação da
política de privacidade, além é claro de conseguir avaliar a licitude das
atividades de tratamento de dados sem interferência da empresa. Logo, o exame
da integridade, preparo técnico e do elevado nível de ética profissional
pressuposto deve ser colocado à mesa na hora de decidir e identificar um
encarregado.
Considerando
as características de destaque que devem ser observadas ao nomear um
encarregado de proteção de dados, entendemos que o profissional deverá
conseguir conhecer em profundidade as atividades de tratamento de dados
realizadas pelas empresas, ter noções da atividade econômica da mesma, e
entender o sistema de segurança da mesma por um lado. Assim como se comunicar
facilmente com os titulares e com a Autoridade, de modo a ser capaz de
responder em tempo hábil possíveis solicitações dos titulares ou autoridades
locais. Isso porque a habilidade em responder de maneira eficiente a tais
solicitações está diretamente relacionada aos princípios de livre acesso (art.
6º, IV) e da transparência (art. 6º, VI) trazidos pela LGPD.
Diante
das importantes tarefas que este profissional desempenha na sociedade,
inclusive em razão das atribuições legais, é suficiente compreender as
sinalizações do mercado e apostar no exame interno das reais necessidades e
possibilidades de cada empresa para proceder com a escolha. É o caso de admitir
a atuação de diferentes encarregados para atender as diversas atividades
econômicas dependentes de tratamento de dados pessoais.
Flavia
Meleras Bekerman - especialista em Direito Digital, Proteção de Dados e
Privacidade
Marco
Antonio Loschiavo Leme de Barros - consultor do escritório BFAP Advogados e
professor da Universidade Presbiterana Mackenzie
Nenhum comentário:
Postar um comentário