LGPD: o Data Protection Officer (DPO) nas empresas brasileiras

A Lei Geral de Proteção de Dados traz ao cenário empresarial brasileiro a exigência de atuação de um novo profissional ou de uma nova assessoria empresarial: o profissional “encarregado” pela gestão empresarial da LGPD (art. 5, VIII, da Lei nº 13.709 de 2018), comumente denominado, em referência à regulamentação europeia, como Data Protection Officer (DPO).

A legislação aponta duas funções primordiais ao DPO: (i) realizar a interlocução com a agência nacional reguladora (ANPD – Agência Nacional de Proteção de Dados); e (ii) ser o responsável pela comunicação, gestão e tratamento de dados dos titulares.

Pode haver, no entanto, inúmeras outras atribuições e possibilidades de atuação do DPO. Uma vez estruturado o compliance na empresa, o DPO poderá realizar auditorias periódicas, criar políticas internas para auxiliar nas práticas de governança, analisar o risco dos negócios sob a ótica legal na tomada de decisões empresariais, dentre outras atividades.

O DPO pode ser um funcionário contratado pela empresa que tenha o compliance de proteção de dados, um prestador de serviços autônomo, ou até mesmo uma empresa terceirizada especializada na prestação desse serviço, o que acaba por seguir os mais modernos conceitos europeus para a alocação dessa gestão de dados.

O European Data Protection Board aprovou algumas maneiras de gerir os dados, como a criação de board interno com profissionais de áreas distintas e permissão de contratação de escritórios terceirizados para essa gestão.

O Board europeu sinalizou alguns critérios básicos para a atuação do DPO, os quais viabilizam ainda mais a atuação por profissionais externos e escritórios especializados. A normativa estipula que o DPO deverá ser envolvido nas tomadas de decisões de negócios e que ele atue com independência e autonomia em seus relatórios, além de ter acesso livre às documentações da empresa em diversos setores. O sistema europeu também determina que DPO declare inexistência de  conflito de interesse na sua atuação, impossibilitando, portanto, recebimentos de lucros e participações nos negócios da empresa na qual atue como encarregado pela gestão de dados.

O Brasil não determinou até o momento em que situações haverá restrições na atuação do DPO ou quando sua nomeação será mandatória. A legislação atual alcança todo universo empresarial brasileiro, não fazendo distinção entre um comércio pequeno como uma padaria e uma multinacional de e-commerce.

Seguindo a análise comparada da legislação europeia, é possível traçar altas expectativas para seguirmos as diretrizes estrangeiras.

A GDPR, em seu artigo 37, exige a nomeação de DPO em três casos específicos: (i) existência de dados processados pela administração pública; (ii) quando o core do negócio for processar e tratar dados em geral (como, controle de informações de consumidores, dados cadastrais, dados financeiros e etc;); e (iii) quando as atividades da empresa obtiverem dados especiais (tais como antecedentes criminais, saúde, orientação sexual etc.).

No entanto, embora a GDPR preveja hipóteses especificas para nomeação de DPO, na ausência desta obrigatoriedade a empresa deve assegurar por meio de sua estrutura interna o cumprimento da legislação de proteção de dados, inclusive com a emissão de relatórios e atendimento e fornecimento de informações aos titulares de dados.

Ou seja, mesmo se a legislação brasileira apresentar alterações e balizar a atuação do DPO, o mercado brasileiro deve se abrir para profissionais internos ou externos hábeis a identificar o impacto dos dados coletados e tratados pela empresa, conscientizar os seus colaboradores e implementar boas práticas e políticas de governança internas.

Esse tipo de profissional se encontra ainda em processo de formação, pois deve reunir os principais aspectos da tecnologia da informação, da legislação aplicável e do risco do core do negócio.

Tendo em vista que a vigência da LGDP se iniciará em 2020, é primordial que as empresas brasileiras busquem desde já soluções junto a profissionais capacitados, tanto para se adequarem às obrigações legais quanto para se manterem competitivas frente ao mercado.