Em agosto deste ano, ao entrar em vigor a Lei Geral de Proteção de Dados (LGPD), uma grande mudança de paradigma deverá ser consolidada: tratar dados pessoais tornou-se uma atividade de risco, diretamente proporcional ao valor que os dados tratados gera para as empresas (volume, criticidade dos dados e capacidade de processamento).

Ou seja, quanto maior o poder do tratamento, maior o accountability das empresas na demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

• +JOTA: Você não pode ser pego de surpresa, certo? Com os especialistas e as ferramentas do JOTA PRO, você nunca decide no escuro. Peça uma demonstração!

Esta mudança já vem ocorrendo gradativamente, seja: (i) diante das empresas que felizmente conseguem enxergar a proteção de dados pessoais como um direito dos indivíduos, potencialmente se transformando ainda esse ano em direito e garantia fundamental no Brasil (PEC 17/2019), e portando buscam a conformidade legal como forma de adquirir a confiança do titular dos dados, confiando-o o controle do tratamento (autodeterminação informativa): ou (ii) em razão de aplicação de sanções e acordos milionários principalmente na Europa e nos EUA, ou mais timidamente já Brasil, com atuação cada vez mais enérgica de nossos órgãos de fiscalização e controle com base em leis setoriais vigentes (como o Código de Defesa do Consumidor e o Marco Civil da Internet).

Fato é que, após a aprovação da LGPD, grande parte das empresas passaram a desenvolver programas de compliance em proteção de dados pessoais como forma de controlar e mitigar estes riscos.

Até então, este movimento estava focado em alguns pontos, como em entender e mapear quais são os dados pessoais tratados nas empresas, quais medidas de governança deveriam ser implementadas e quais os principais riscos de segurança enfrentados.

Porém, o desenvolvimento, a implantação e principalmente a manutenção perene da estrutura de governança em privacidade e proteção aos dados pessoais mostram-se fundamental na jornada de conformidade legal. E a indicação do Encarregado (Data Protection Officer – DPO) é peça chave na liderança desta estrutura.

O Encarregado pode ser visto como um compliance officer de dados pessoais, só que ao invés de estar focado em questões como prevenção à corrupção ou lavagem de dinheiro, suas atividades estão centradas nas operações de tratamento e nas regras gerais e setoriais sob a perspectiva de privacidade e de proteção de dados pessoais.

Atuando também como uma espécie de ouvidor sobre o tratamento de dados pessoais e como ponto focal da Autoridade Nacional de Proteção de Dados (órgão que irá fiscalizar o cumprimento da LGPD), o Encarregado é peça indispensável também para dar “tração” ao tema dentro das empresas, auxiliando e capacitando os colaboradores em relação ao manuseio de dados pessoais, monitorando o cumprimento das regras previstas e garantindo o engajamento da liderança.

Além disso, ao desenvolver novos projetos, produtos e serviços em que envolva o tratamento de dados pessoais, o Encarregado tem o papel de auxiliar a aplicação prática do privacy by design, metodologia que exige a observância das regras de privacidade e proteção de dados desde a fase de concepção destas iniciativas.

Outra importante tarefa que recai sobre este profissional é o cumprimento do princípio da responsabilização e prestação de contas, pilar fundamental em programas de compliance e expressamente previsto na LGPD, pois além de o Encarregado ser o responsável por garantir a conformidade, é ele quem deve avaliar as evidências de que o programa de privacidade funciona na prática e que, eventualmente, podem ser utilizadas para sustentar defesas e explicações em procedimentos fiscalizatórios, auditorias, due diligence e processos judiciais.

Para assumir esta posição, o mercado tem buscado profissionais com características multidisciplinares: conhecimento profundo da LGPD e de normas setoriais aplicáveis, experiência na gestão de programas de compliance e familiaridade com tecnologias empregadas no tratamento de dados pessoais, como cookies e inteligência artificial, além da noção das principais técnicas relacionadas à segurança da informação.

São raros os profissionais que conseguem aliar essa variedade ideal de conhecimento na área jurídica, de governança, tecnologia e segurança da informação. Ou seja, será grande a quantidade de profissionais necessários para preencher as necessidades das empresas.

Em 2019, após um ano de eficácia do General Data Protection Regulation (GDPR), a Associação Internacional de Profissionais de Privacidade (IAPP) publicou estudo informando a nomeação de mais de 375.000 DPOs registrados nos Estados-Membros da União Europeia sujeitos ao GDPR e mais de 500.000 DPOs estimados em toda e Europa. Em 2017, a mesma associação esperava a criação de mais de 75.000 DPOs ao redor do mundo para atender ao GDPR.

Uma possível solução a essa potencial escassez de profissionais, é a terceirização desta função (DPO as a Service), modalidade permitida pela LGPD e comum na União Europeia, vez que é possível conciliar um time multidisciplinar de especialistas, baixo custo e flexibilidade para atuação.

Atentando-se a alguns cuidados básicos, como a definição clara dos papeis e responsabilidades do Encarregado terceirizado, imposição de elementos que garantam autonomia em sua atuação, e verificação da experiência que o time contratado já possui, a contratação do DPO as a Service pode acelerar os projetos de adequação à LGPD das empresas e o ganho de maturidade dos seus Programas de Privacidade, por uma fração do esforço que seria necessário na contratação de um profissional ou time interno.

Referidas terceirizações podem funcionar também de forma temporária, como gatilho para o estabelecimento inicial da área interna de governança em proteção de dados, ao menos até que a organização consiga seguir sem ajuda externa.

Assim, a governança e a indicação do DPO é pedra de toque para a conformidade legal, mitigando riscos, sanções e responsabilidades, pois em casos de violações a autoridade deverá avaliar as peculiaridades do caso concreto e considerar parâmetros e critérios previstos na LGPD, como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, e a adoção de política de boas práticas e governança.

Rony Vainzof – Advogado, professor e árbitro especializado em Direito Digital e Proteção de Dados. Sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados. Coordenador e professor do MBA em Direito Eletrônico da Escola Paulista de Direito e do Curso de Extensão em Proteção de Dados da FIA. Mestre em Soluções Alternativas de Controvérsias Empresariais pela Escola Paulista de Direito. Fundador da Associação Brasileira de Proteção de Dados (ABPDados). Diretor do Departamento de Defesa e Segurança e responsável pelo Grupo de Trabalho de Defesa Cibernética da Federação das Indústrias do Estado de São Paulo (FIESP). Membro da Câmara de Direito e Segurança do Comitê Gestor da Internet do Brasil.
Henrique Frabretti – Coordenador da área de serviços de DPO do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.