Para que se inicie a implementação da Lei Geral de Proteção de Dados Pessoais ("LGPD"), torna-se necessário que a alta administração vislumbre a importância deste projeto para a organização, tanto para a alocação dos recursos financeiros necessários quanto para que esteja comprometida dando apoio ao Programa de Proteção de Dados a ser implementado. Para que isto seja alcançado, há diferentes possibilidades, a depender do ramo de atuação e complexidade de cada organização, pois em setores altamente regulados, a mera vigência da LGPD e seus requisitos mandatórios, além de resoluções específicas no mesmo sentido (ex. Resolução do Bacen nº 4.658/2018), serão suficientes para este convencimento. Entretanto, na grande maioria, torna-se necessário também apontar os impactos negativos, como as sanções administrativas previstas na lei, e a possibilidade de dano reputacional na concretização de um incidente de segurança, e os impactos positivos como melhoria dos processos internos e utilização mais qualitativa dos dados, credibilidade perante os titulares de dados, oportunidades comerciais, vantagem concorrencial e imagem positiva perante o mercado.
Após superada esta fase de conscientização da alta liderança, o próximo passo sugerido é a criação de um grupo de trabalho multidisciplinar que inicialmente acompanhará a implementação do programa de privacidade e proteção de dados pessoais, e após servirá como um comitê para discussões relevantes e até mesmo como órgão que poderá ajudar a organização a definir quem será o Encarregado (DPO) a ser nomeado e, posteriormente, servir de apoio a este. Áreas que podem compor este grupo são Compliance, Recursos Humanos, Tecnologia/Segurança da Informação, Jurídico, Comercial/Vendas, Suprimentos e Marketing.
Ademais, para a efetiva adequação à LGPD torna-se necessário o engajamento de toda a organização, de forma que haja uma mudança de cultura em relação ao tratamento dos dados pessoais, o que será essencial para a fase de mapeamento e para a manutenção da efetividade do programa. Uma forma de se obtê-lo na fase de mapeamento é a realização de workshops em grupos ou entrevistas individuais com as áreas de negócios que tratam dados pessoais, para que assim seja solicitado o engajamento no processo de coleta de informações acerca dos fluxos de tratamento dos dados pessoais presente na rotina das áreas, o que será consolidado no registro das operações de tratamento de dados pessoais (ROPA) e no relatório de impacto à proteção de dados pessoais (RIPD), este para os casos que podem gerar riscos.
Outro cenário que pode ser encontrado é uma certa resistência de alguns colaboradores em fornecer informações acerca da sua rotina com o tratamento de dados pessoais, por receio de que os novos procedimentos a serem implementados dificultem, criem empecilhos ou até mesmo impeçam práticas de negócio, por isso as comunicações devem sempre enfatizar que a implementação do programa de proteção de dados terá o intuito de adequar práticas e será um parceiro das áreas de negócio, podendo proporcionar mais dinamicidade aos negócios, tratamento dos dados de forma mais qualitativa e principalmente a mitigação de riscos que podem representar grandes impactos para toda a organização.
Já na fase de implementação, torna-se necessário, para as organizações que tratem dados pessoais na condição de controlador, a indicação do Encarregado (também conhecido como DPO - Data Protection Officer). A fim de que o Encarregado consiga cumprir com as suas atividades, visando à proteção efetiva dos dados pessoais, é imprescindível que esse profissional tenha autonomia e independência no exercício de suas funções. Não há proibição na LGPD que impeça o Encarregado de ser um colaborador da organização, acumulando funções, o que tem sido uma opção mais factível, principalmente considerando organizações que tem uma estrutura mais enxuta. Contudo, o desafio e risco a ser mitigado nesta nomeação é garantir que o Encarregado não ocupe um cargo que o coloque em uma posição de conflito de interesses.
Ainda, caso a opção da organização seja pela acumulação de função, é recomendável que o Encarregado nomeado seja sempre suportado por um comitê de proteção de dados conforme retromencionado, preferencialmente composto por colaboradores que tenham participado das fases de diagnóstico e implementação do programa de privacidade e proteção de dados pessoais.
Uma dúvida comumente suscitada por colaboradores indicados que acumularão essa função se refere à responsabilização do Encarregado. Vale ressaltar que sua função é consultiva e o mesmo não poderá ser responsabilizado pessoalmente por eventual não conformidade por parte da organização com as normas de proteção de dados pessoais. Contudo, caso seja comprovada a intenção do Encarregado em adotar medidas contrárias às normas de proteção de dados pessoais ou sua omissão, poderá haver a sua responsabilização civil perante o empregador e terceiros. De acordo com o Código Civil Brasileiro, havendo ação ou omissão voluntária, negligência ou imprudência que resulte em dano, esta poderá acarretar a responsabilização pessoal do Encarregado.
Sendo assim, é recomendável que o colaborador a ser indicado possua conhecimentos específicos sobre as normas de proteção de dados pessoais, sobre o funcionamento dos meios tecnológicos e de segurança da informação, sobre o Programa de Privacidade e Proteção de Dados Pessoais, sempre com autonomia, independência e acesso à alta direção. Outros pontos favoráveis para a consideração do escolhido ao cargo são o conhecimento sobre os frameworks de gestão de riscos, privacidade e segurança da informação e certificações profissionais com credibilidade reconhecida pelo mercado.
Lembrando sempre que o cenário ideal seria a criação de uma divisão de Privacidade e Proteção de Dados e o Encarregado com dedicação exclusiva na alta liderança, sem compartilhar funções com outras atribuições, ou ainda, considerando que a figura do Encarregado pode ser tanto pessoa física, quanto pessoa jurídica, a LGPD também traz a possibilidade de que haja a terceirização do serviço de Encarregado.
Este artigo não é exaustivo e objetivou elucidar alguns exemplos práticos de cenários enfrentados pelas organizações no decorrer dos trabalhos de diagnóstico e implementação do programa de privacidade e proteção de dados pessoais, que tem impactos diferentes a depender do grau de complexidade, estrutura e ramo de negócios de cada organização. Por fim, vale ressaltar que neste ano teremos iniciativas de regulamentações da nossa Autoridade Nacional de Proteção de Dados, que em 28 de janeiro anunciou sua agenda regulatória bianual (2021/2022) elencando 10 temas prioritários a serem objeto de maior detalhamento e orientações .
*Camila Chizzotti é sócia da área de compliance do Ogawa, Lazzerotti e Baraldi Advogados
