Quando o assunto é adequar a sua empresa à Lei Geral de Proteção de Dados, um ponto importante é a contratação de um Encarregado de Dados, também conhecido como DPO (Data Protection Officer).
Além de ser um cargo relevante e estratégico para a corporação em termos de privacidade e proteção de dados, a exigência de sua contratação está elencada na própria lei que determina que todo controlador deve indicar um encarregado de dados - exigência esta que já foi inclusive reafirmada pela Autoridade Nacional (ANPD) em seu primeiro guia orientativo.
Em termos práticos o Encarregado de Dados ou DPO, trata-se de um cargo que deve ser criado em toda corporação que trate dados pessoais como controladora.
Inclusive, na data de 29 de julho de 2021 tivemos um importante avanço neste assunto com a inclusão e reconhecimento oficial da ocupação de Encarregado de Dados/DPO na Classificação Brasileira de Ocupações (CBO).
Com a inclusão do cargo na CBO, a partir do ano de 2022 todas as pessoas que ocuparem este cargo poderão ostentar dos benefícios de uma profissão regulamentada, além de também ser reconhecida a terminologia em inglês de DPO, podendo o profissional se qualificar como DPO ou como Encarregado de Dados, sendo no Brasil duas denominações equivalentes.
A legislação não traz qualquer pré-requisito para a ocupação deste cargo: não há determinações sobre o grau de escolaridade, a profissão, a exigência de certificação e demais especificidades.
Portanto, a adoção de requisitos específicos para a ocupação desse cargo fica a critério de cada corporação que pode criar o seu próprio processo seletivo com base em padrões mercadológicos, como a exigência de certificação na área ou a da comprovação de experiência prévia no assunto.
Quanto mais requisitos a empresa determina para este cargo, mais específica fica a sua contratação.
Para este cargo há duas opções para as empresas:
A primeira é a de contratar alguém para ocupar internamente este cargo. Com essa opção o encarregado de dados passa a ter vínculo empregatício somente com aquela determinada corporação, sendo realmente um funcionário - como os demais, mas ocupando este cargo específico. Para este tipo de contratação pode haver um recrutamento externo ou então a promoção de um colaborador que já faça parte do negócio. Nesta hipótese somente há a possibilidade de contratar uma pessoa física.
A segunda opção é a de contratar este serviço de forma externa, por meio de uma consultoria especializada em proteção de dados. Neste caso, a empresa irá possuir um encarregado de dados específico, mas sem que ele esteja contratado de forma interna, já que um mesmo consultor pode ocupar este cargo em mais de uma empresa, não havendo exclusividade na prestação deste serviço. Como aqui a contratação é externa e sem vínculo empregatício, a empresa possui a possibilidade de contratar uma pessoa física ou uma pessoa jurídica para o cargo.
Em termos de contratação fixa para a própria empresa, com um núcleo específico sobre privacidade e proteção de dados estamos nos referindo a um DPO interno.
Por outro lado, se a empresa deseja contratar um DPO de forma externa então estamos diante do DPO As A Service.
Para entender qual a melhor contratação para o negócio devem ser analisados vários pontos específicos como a possibilidade financeira, se a equipe trabalhista é capacitada ou não para o cargo, a viabilidade do empreendimento e a sua necessidade prática.
Caso a empresa opte pelo DPO interno então haverá a necessidade de estruturar este setor dentro da organização, designar um funcionário para o cargo e fazer todos os ajustes necessários, uma vez que toda atividade interna e externa na empresa deve passar pelo crivo do DPO por ser o responsável por manter a empresa em adequação â lei de proteção de dados.
Já se a empresa decidir terceirizar esse cargo por intermédio de uma consultoria como DPO As A Service então alguns gastos podem ser poupados, já que nesta hipótese não é necessário constituir um novo setor dentro da empresa, além de que todas as responsabilidades por manter a empresa em conformidade passam a ser do próprio consultor. Além do mais, na grande maioria das vezes quem presta esse serviço de consultoria já possui uma equipe adequada para lidar com as questões de privacidade, também não sendo necessário a empresa se preocupar com essa questão de suporte técnico.
Independentemente da forma de contratação escolhida pela empresa, é importante ressaltar que embora não existam limites profissionais para o cargo o essencial e recomendado é a que a pessoa (seja física ou jurídica) a ocupar o cargo de DPO seja alguém que possua um vasto conhecimento acerca da legislação de proteção de dados, tenha domínio sobre as questões envolvendo direitos dos titulares e responsabilidades dos agentes de tratamento, saiba manter um bom diálogo entre todos os setores da empresa, além de ter um conhecimento multidisciplinar, não se limitando apenas aos aspectos jurídicos.
Segundo o artigo 41, §2º da LGPD as atividades do encarregado consistem em:
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
Receber comunicações da Autoridade Nacional e adotar providências;
Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Com isso podemos extrair que o encarregado de dados possui duas funções primordiais:
A primeira função é a de manter a empresa adequada com a LGPD, aplicando princípios de Privacy by Design e Privacy by Default, elaborando documentos de acordo com o avanço do tratamento de dados, incluindo cláusulas específicas sobre o tema em contratos futuros, analisando novas hipóteses de tratamento, realizando treinamentos periódicos para manter uma cultura corporativa de proteção de dados etc.
A segunda função é a de ser o intermediário entre a comunicação da empresa com o titular de dados e da empresa com a ANPD. É o DPO o responsável por realizar toda a comunicação com o titular de dados, uma vez que é ele quem detém o domínio do tema e do tratamento realizado pela corporação. Em caso de comunicação ou notificação pela ANPD, também é o DPO o responsável por auxiliar na prestação de contas, em elaborar alguns documentos específicos que podem ser exigidos e de adotar providências que se julgarem necessárias.
É importante destacar que a comunicação em que o DPO é responsável por intermediar é a da empresa com os titulares e da empresa com a Autoridade Nacional, não significando que ele assume responsabilidade por termos ou documentos específicos.
Por exemplo: A responsabilidade em elaborar um Relatório de Impacto é a do controlador, por mais que o Encarregado elabore este documento e apresente à ANPD, a responsabilidade pelo RIPD continua sendo do controlador.
Acerca da exigência de nomeação de um Encarregado de Dados nas empresas de pequeno e médio porte como o MEI, a ME, e a EPP ainda é nebulosa, uma vez que embora essa possibilidade conste na própria legislação nada foi definido até o presente momento.
O artigo 41, §3º da LGPD dispõe que a Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive as hipóteses de dispensa da necessidade da sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Assim, pela leitura da Lei Geral de Proteção de Dados fica claro que pequenos empreendimentos terão tratamento diferenciado e facilitado, principalmente na questão de contratação de um encarregado de dados, já que nem sempre essas empresas tratam dados pessoais em grande fluxo, como também não possuem uma capacidade financeira vultosa e complexa.
Entretanto, até o presente momento a ANPD não se manifestou acerca dessa possibilidade, prevalecendo apenas à regra já vista anteriormente.
Em termos mercadológicos por mais que a Autoridade futuramente dispense essas empresas de contratarem um encarregado de dados, é nítido que as empresas que decidirem manter este cargo ganharão vantagem competitiva e terão privilégios com os consumidores, principalmente porque fica evidente que a corporação leva o tema de privacidade e proteção de dados tão a sério a ponto de manter uma regulamentação por questão de ética e de boa governança, e não simplesmente por exigência legal.
Portanto, especificamente nestes negócios a contratação de um DPO ou não deve ser pensada de forma estratégica, já que ela pode potencializar a empresa como um todo, e não apenas em questões envolvendo a LGPD.
Agora se você está pensando em qual o melhor momento para realizar essa contratação dentro da sua empresa a resposta é apenas uma: agora.
Isso porque além de estarmos diante de uma exigência disposta em lei, ainda temos de lembrar que as sanções previstas na LGPD já estão em vigor, ou seja, o descumprimento das normas, das diretrizes e dos princípios legais pode dificultar a atividade empresarial por aplicação de sanções administrativas.
As sanções estão previstas no artigo 52 ao artigo 54, e entre as mais bruscas podemos destacar:
A multa simples por infração limitada até o montante de R$ 50 milhões;
A necessidade de publicização da infração;
O bloqueio dos dados pessoais a que se refere à infração;
A proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Por mais que o diretor-presidente da ANPD, Waldemar Gonçalves Ortunho Júnior, tenha se manifestado em momento anterior afirmando que a função da Autoridade não é a de instalar uma indústria de multa no país, isso não quer dizer que as sanções não serão aplicadas.
Por isso o cenário atual é de mudança brusca, pois agora temos as sanções em pleno vigor e, como listadas acima, algumas são tão bruscas que podem significar a própria falência da atividade empresarial.
Atualmente é muito improvável estarmos diante de uma corporação que não trata dados pessoais, já que por mais que não haja captação de dados de clientes ao menos temos a circulação de dados internos, como na questão dos funcionários contratados.
Agora para uma empresa que é construída inteiramente apenas com coleta de dados pessoais, ou que possui uma grande interação de maneira online, é praticamente improvável que ela consiga se manter com a aplicação de uma sanção de bloqueio do banco de dados ou de paralisação em atividades de tratamento de dados pessoais.
Exatamente por essa questão de manter a empresa em constante conformidade e de evitar que ela receba alguma punição através das sanções administrativas que a contratação do encarregado de dados se demonstra importante e mais do que isso, urgente.
Dessa forma, não há mais um momento de análise para entender como o mercado vai reagir com a criação desse novo cargo. A partir de agora já estamos lidando com uma realidade diferente: a de vigilância acerca das futuras notificações para as aplicações das sanções administrativas.
A questão agora deixa de ser apenas a adequação, para se dividir entre essa etapa e a observância das regras: se elas estão sendo cumpridas pelas empresas ou não.
Por isso, o cargo de DPO dentro da corporação é algo permanente e não tem caráter transitório. Se estivermos diante de uma contratação terceirizada em DPO As A Service a empresa só consegue justificar o rompimento dessa prestação de serviço pela inclusão de um setor interno, mas nunca porque o contrato venceu ou não existe mais a necessidade do cargo pela empresa.
A contratação de um encarregado é uma medida essencial para a empresa que deseja se manter em conformidade com a LGPD, e não apenas como medida de mero cumprimento obrigacional.
Este conteúdo foi útil para você? Então não esqueça de clicar no ❤.
Ainda ficou com alguma dúvida? Entre em contato conosco através do e-mail: contato@taiscastro.adv.br.
Taís Castro - Advogada e Consultora em Proteção de Dados.
Comments