LGPD: o DPO e o Comitê de Privacidade e Proteção de Dados Pessoais são necessários?

LGPD: o DPO e o Comitê de Privacidade e Proteção de Dados Pessoais são necessários?

Jacira Jacinto da Silva e Flávia da Silva Paupitz Piovesan*

25 de novembro de 2020 | 09h30

Flávia da Silva Paupitz Piovesan e Jacira Jacinto da Silva. FOTO: ARQUIVO PESSOAL

Desde a divulgação da Lei Geral de Proteção de Dados no Brasil, passou-se a comentar que ela teria a mesma disposição legal contida no GDPR, mas é fato que essa última – a General Data Protection Regulation – é a lei válida na União Europeia. Aqui vigora, desde 18/09/2020, a LGPD (Lei 13.709/18 alterada pela Lei 13.853/19), à qual os brasileiros devem se reportar.

Apesar de existirem grandes semelhanças entre as duas, são legislações específicas para o seu âmbito de abrangência. Nem tudo o que prevê o GDPR está também contemplado na lei brasileira, havendo no Brasil algumas peculiaridades distintas.

Em conformidade com o GDPR, que trata dos Códigos de conduta e certificação (Seção 5, Artigo 40 – Códigos de conduta), “os Estados-Membros, as autoridades de controle, o Comitê e a Comissão, promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas”.

Diferentemente, a Lei brasileira não prevê – nem determina a instituição – do Comitê de Privacidade e Proteção de Dados Pessoais. Não obstante, algumas pessoas têm tratado o tema como se fosse uma obrigatoriedade imposta pela nossa lei.

Da mesma forma, muitos por aqui atrelam o papel do “encarregado”, que está previsto expressamente na Lei Brasileira, ao do DPO (Data Protection Officer), com previsão no GDPR, mas este também não tem similar na nossa lei. É possível inferir-se do texto legal a necessidade de se realizar as atividades atribuídas ao DPO no GDPR também aqui no Brasil, mas não existe o papel, a função específica, que a lei europeia não apenas prevê, como define.

Em síntese, o Encarregado deve ser indicado pelo controlador para fazer a comunicação com o titular dos dados e com a ANPD – Autoridade Nacional de Proteção de Dados. Já o DPO da legislação europeia responde por orientar, acompanhar, inspecionar e garantir que a empresa entre em conformidade com a lei (um auditor interno).

Seria, então, correto deduzir que, no Brasil, não é necessário instituir o “Comitê de Privacidade e Proteção de Dados Pessoais”, ou que seja inviável a nomeação de um DPO? As respostas para essas questões vão depender do grau de comprometimento da empresa com a LGPD. Para quem estiver pensando em buscar compliance, abdicar desses papeis parece não ser a melhor alternativa.

A despeito da inexistência de previsão expressa em nossa lei, específica sobre a necessidade de alguém exercer o papel de DPO, ou de se instituir o mencionado Comitê, é certo que ambos poderão ser muito úteis às iniciativas de colocar a empresa em conformidade com a lei.

Uma avaliação criteriosa permite interpretar esse Comitê, basicamente, como a imagem da empresa no que diz respeito ao seu compromisso com a proteção de dados pessoais, pois lhe incumbiria sugerir e acompanhar a implantação de políticas, inclusive de boas práticas e de governança, que contemplem a formação contínua das pessoas responsáveis pelo tratamento de dados pessoais, internamente. Também compete ao Comitê a gestão das atividades de tratamento de dados, fiscalizando processos que envolvem tratamento de dados pessoais.

O Comitê se constitui, em suma, em importante e útil ferramenta, de que empresas e Instituições poderão dispor, visando atribuir a responsabilidade pela avaliação dos mecanismos de tratamento e proteção de dados pessoais existentes e pela proposição de ações voltadas ao seu aperfeiçoamento contínuo, salvaguardas e prevenção de riscos, para, efetivamente, atingir a conformidade com as disposições da lei 13.709, de 14 de agosto de 2018, modificada pela Lei 13.853/19.

Seria um braço da empresa/instituição para fortalecer a implantação de práticas transparentes de tratamento de dados pessoais.

O Comitê de Privacidade e Proteção de Dados Pessoais deve ser integrado por pessoas envolvidas diretamente com execução do tratamento de dados pessoais. Por esse motivo devem dominar o conhecimento sobre os processos mais relevantes, levada em conta a legislação específica. A alta administração da empresa/instituição, necessariamente deverá compor esse Comitê, sem prejuízo da necessária inclusão de outros setores chave, como RH, Administração, Jurídico, Marketing, compliance etc.

Sugere-se às empresas/instituições que optarem por indicar um Comitê de Privacidade e Proteção de Dados Pessoais, compô-lo com pessoas comprometidas, que trabalham efetivamente por seu melhor desempenho e que conheçam bem sua filosofia, seus valores, propósitos e missão. Elas serão a representação da identidade da empresa/instituição para o tema “Proteção de Dados Pessoais”, com a primeira atribuição de transformar a cultura vigorante para um tempo novo, de absoluto respeito aos dados pessoais de diretores, conselheiros, empregados, prestadores de serviço, clientes, parceiros etc.

Para além da formação continuada que deverá implementar, esse Comitê terá diversas outras atribuições, como: zelar pela elaboração do relatório de impacto; desenvolver e implementar políticas de privacidade, programa de governança e boas práticas no tratamento de dados pessoais; acompanhar a lei e, especialmente observar os regulamentos e normatizações provenientes da ANPD; além de fazer a gestão geral de todas as ações relacionadas com a adequação para a observância da LGPD.

*Jacira Jacinto da Silva, juíza de direito aposentada, e Flávia da Silva Paupitz Piovesan, professora, são advogadas, especialistas em proteção de dados e consultoras sobre o tema na Fundação Vanzolini

Comentários

Os comentários são exclusivos para assinantes do Estadão.