DPO: um novo cargo para um novo paradigma de proteção de dados

DPO: um novo cargo para um novo paradigma de proteção de dados

Nuria López*

04 de março de 2019 | 07h00

Nuria López. FOTO: DIVULGAÇÃO

Se você olhar para o bolso e encontrar um smartphone pode pensar sobre a quantidade de dados sobre si mesmo que ele possui. Seus contatos, mensagens, e-mails, dados e senhas bancários, fotos, geolocalização, microfone, hábitos de compra, de saúde, entre tantos outros. Quem coleta esses dados? O que fazem com eles? Quem fiscaliza essas atividades?

A Lei Geral de Proteção de Dados (Lei n.º 13.709/2018 alterada pela Medida Provisória n.º 869/2018) regulamenta exatamente isso: o tratamento de dados pessoais. Essa Lei entrará em vigor em agosto do próximo ano e trará às empresas a necessidade de adequação de todas as suas atividades de tratamento de dados pessoais a um novo paradigma que regulamenta o tratamento de dados pessoais para minimizá-lo, é dizer, restringe a utilização de dados pessoais apenas aos dados necessários e adequados à finalidade que justifica o tratamento e que demanda o estabelecimento de uma relação mais transparente com o titular dos dados, isto é, com você, comigo, ou com qualquer pessoa que possa ser identificada a partir de determinados dados. São alterações significativas em processos, produtos e serviços de empresas em todos os setores da economia.

Contudo, as empresas não estão sozinhas neste caminho. A lei brasileira, seguindo a matriz da regulamentação europeia, cria a figura do Encarregado pelo Tratamento de Dados Pessoais (na Europa, Data Protection Officer, o DPO, como é conhecido no mercado), para centralizar todas as questões envolvendo proteção de dados na empresa em um cargo que fica responsável por tudo o que envolve o tratamento de dados pessoais. Aqui, ele é indicado pela empresa que controla os dados, isto é, que decide sobre o tratamento deles. Na redação original da lei, o DPO precisava ser uma pessoa física, mas a Medida Provisória que a seguiu abriu a possibilidade para que haja indicação também de pessoas jurídicas. De toda forma, é exercido por alguém que compreenda profundamente a legislação de proteção de dados e as medidas de segurança adequadas à empresa.

É uma posição sui generis pois, sendo um cargo interno à empresa, indicado por ela, está responsável pela adequação à legislação de proteção de dados e em contato direto com a Autoridade Nacional e com os titulares, de quem recebe comunicações, a quem presta informações e adota providências para que a empresa cumpra integralmente às normas de proteção de dados.

Para tanto, deve-se garantir autonomia ao DPO, para que ele tenha liberdade para indicar e adotar as providências necessárias. É no intuito de garantir essa autonomia que ele não pode ser penalizado pelo exercício de suas funções e reporta apenas ao mais alto nível da hierarquia da empresa. Também por isso, o DPO não pode ter conflito de interesses com ela, para que não se veja na falsa dicotomia de desenvolvimento e proteção de dados. O DPO deve conciliar e indicar caminhos de desenvolvimento, eficiência, que privilegiem o desenho da privacidade e da proteção de dados. Logo, vê-se que deve ao mesmo tempo ser alguém de confiança, pois dentro de toda essa autonomia, também terá acesso aos dados tratados na empresa.

Além disso, e talvez mais importante neste momento em que a lei ainda não está em vigor, mas as empresas estão empregando seus esforços na adequação, o DPO orienta a respeito das práticas de proteção de dados. A experiência europeia, bem como nosso início de experiência aqui, indica a importância e a eficiência da indicação de um DPO no início da adequação da empresa à LGPD. Ele funciona como um guia nesse processo. Com a nova Lei Geral de Proteção de Dados, vem essa nova função nas empresas, o Data Protection Officer, precisamente para centralizar e auxiliar na condução ao novo paradigma de proteção de dados.

*Nuria López, DPO Opice Blum, Bruno, Abrusio, Vainzof Advogados Associados