O contrato de trabalho do encarregado da proteção de dados (DPO – Data Protection Officer)

O contrato de trabalho do encarregado da proteção de dados (DPO – Data Protection Officer)

Denise Fincato e Caroline de Melo Lima Gularte*

10 de agosto de 2021 | 10h40

Denise Fincato e Caroline de Melo Lima Gularte. FOTOS: DIVULGAÇÃO

A figura do Encarregado da Proteção de Dados ou “DPO” (sigla que designa Data Protection Officer e que se popularizou no País) está prevista na Lei Geral de Proteção de Dados (LGPD), cuja vigência teve grande parte iniciada em 18/09/2020, suscitando muitas dúvidas e questionamentos, sobretudo quanto aos desdobramentos práticos da escolha do Encarregado nas empresas.

A LGPD dispõe no art. 5°, inc. VIII que o Encarregado será “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.[1] Isto significa dizer que o Encarregado pode ser tanto pessoa física quanto pessoa jurídica, resultando no surgimento no mercado de diversas empresas prestadoras de serviços terceirizados de DPO, convencionando-se chamar esta atividade de “DPO as a service”.[2]

No §2º do artigo 41, a LGPD menciona quais são as atividades a serem desempenhadas pelo Encarregado: aceitar reclamações e comunicações dos titulares; prestar esclarecimentos; adotar providências; receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD); orientar funcionários e contratados a respeito das práticas quanto à proteção de dados; executar demais atribuições determinadas pelo controlador.[3]

Dispõe o §3º do art. 41 que a ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do Encarregado, inclusive, hipóteses de dispensa de sua indicação. Releva notar o verbo utilizado pelo legislador brasileiro: “poderá”. Isto significa dizer que, por ora, como não há nenhuma definição quanto à possibilidade de dispensa da indicação do Encarregado, tanto as organizações públicas quanto as privadas estão obrigadas a indicar um Encarregado pela proteção de dados pessoais, independentemente do porte da entidade ou volume de dados pessoais tratados. A ANPD publicou agenda regulatória para o biênio 2021/2022 e a previsão para a regulamentação do §3º do artigo 41 da LGPD está na fase 2 do calendário.[4]

É importante referir que, muito embora o legislador brasileiro tenha a legislação de proteção de dados europeia como fonte de inspiração, há peculiaridades que diferenciam a figura do Encarregado da Proteção de Dados prevista na LGPD e do Encarregado previsto no Regulamento Europeu de Proteção de Dados (RGPD).

O legislador europeu dispõe em seus artigos 37 e 38 sobre a designação do Encarregado e sua posição nos setores público e privado. Percebe-se, pela interpretação do artigo 38 item nº 3, que o Encarregado do RGPD detém um grau de independência significativo, que não foi observado pelo legislador brasileiro. No RGPD, há a previsão clara de que o “Encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo fato de exercer as suas funções.”[5]

A presença de um responsável pela disseminação da cultura de proteção de dados, seja no setor público quanto no setor privado, não é novidade trazida pelo Regulamento Europeu de Proteção de Dados (Regulação 2016/679 da União Europeia), que substituiu a Diretiva 95/46/CE. A Alemanha foi um dos primeiros países a editar uma lei específica sobre proteção de dados pessoais no mundo.

Em 1977, o § 29 da Lei Alemã Bundesdatenschutzgesetzes (BDSG) já previa ser o Encarregado pela proteção de dados o responsável por garantir a aplicação da lei e de outros regulamentos sobre proteção de dados, mantendo uma visão geral do tipo de dados pessoais armazenados e das finalidades e objetivos comerciais, cujo cumprimento requer o conhecimento dos dados, seus destinatários e o tipo de sistemas automatizados de processamento de dados utilizados. Para além disso, de acordo com a Lei Alemã, é responsabilidade do Encarregado orientar as pessoas envolvidas no processamento de dados pessoais com as disposições da Lei sobre proteção de dados, com base nas circunstâncias especiais da área de negócios e os requisitos singulares resultantes para proteção de dados.[6]

Sobre o desempenho da atividade de Encarregado, há um ponto em comum em todas as legislações analisadas: a necessidade de conhecimento técnico do negócio em que está inserido, da área de tecnologia e da legislação vigente. A integridade e o bom relacionamento também são características fundamentais, pela necessidade do DPO de transitar por todas as áreas da organização que tratem dados pessoais.[7] No mesmo sentido, um documento emitido pelo Grupo de Trabalho do Artigo 29, no ano de 2016, elenca orientações gerais para Encarregados da proteção de dados, ressaltando a importância de o DPO ter como qualidade a integridade e a ética profissional, já que desempenha papel determinante na cultura da proteção de dados no âmbito organizacional.[8]

Na prática, as especificidades de alguns nichos de mercado têm levado à conclusão de que a contratação de um serviço terceirizado de Encarregado da Proteção de Dados não atende, muitas vezes, às particularidades da atividade negocial, situação que poderia conduzir, inclusive, à eventual fragilização e exposição indevida de dados pessoais. Como referido acima, a própria Lei Alemã (BDSG, 1977) já alertava sobre a importância de o DPO estar atento às circunstâncias singulares da área de negócios e os requisitos especiais resultantes para proteção de dados pessoais, para além da necessária integridade inerente à função a ser desempenhada.

Nestes casos, a escolha de um Encarregado da Proteção de Dados, que seja pessoa física, preferentemente subordinada e que compreenda bem a dinâmica organizacional da empresa em que irá atuar com privacidade e proteção de dados pessoais, tem se mostrado boa alternativa.

Esta qualidade ética e de necessária integridade direciona o DPO à importância de zelo e diligência no desempenho das suas atividades. Nesta seara, poderia se cogitar em eventual responsabilidade criminal do DPO. O Encarregado poderia responder criminalmente por delitos praticados em razão de incidentes de segurança com dados pessoais que estavam sob seu zelo (quando configurado o seu agir culposo, em conformidade com o art. 13, §2º do Código Penal)[9], se houver a possibilidade de interpretação de que o DPO estaria em uma posição de garante[10], no sentido do dever de agir com máxima diligência na sua atuação profissional. Esta interpretação já é acolhida no caso dos Compliance Officers.[11]

O DPO não está obrigado a garantir o cumprimento da LGPD, mas o seu dever de diligência deverá ser previsto, inclusive, contratualmente, pois a sua responsabilidade é dirigida e limitada ao bom exercício de sua função. Pairando o dever de diligência na condução das atividades do Encarregado, a exemplo do que já se defende no tocante aos Compliance Officers, como predito, pode-se admitir, ainda, a inclusão no seu contrato de trabalho de uma cláusula de “garante” das operações com dados pessoais sob sua responsabilidade, pois o fundamento de uma reparação de dano estaria no incorreto desempenho das atividades do DPO (e na constatação de seu agir culposo – art. 13 § 2º do Código Penal).

A independência e a liberdade no desempenho das atividades do Encarregado é fator crucial para a implementação efetiva da proteção de dados pessoais nas empresas, não podendo o DPO ser, eventualmente, punido pelo aconselhamento que prestar, mesmo que sua recomendação seja contrária aos interesses da empresa.

E aqui está um ponto muito importante e de ordem prática: quando a empresa escolhe para DPO um trabalhador subordinado (ou seja, empregado). Neste aspecto, cláusulas contratuais específicas deverão constar no contrato de trabalho do Encarregado que seja empregado da empresa, sobretudo em virtude do dever de diligência na condução de suas atividades. Para além disso, as atividades a serem desempenhadas pelo Encarregado deverão estar claramente expostas no contrato e nos demais documentos empresariais (job descriptions).

Este ponto, em si, já é importante para tornar clara a postura diligente que é inerente ao cargo de DPO. Cláusulas de confidencialidade e sigilo são relevantes para que sejam preservadas as informações relacionadas às peculiaridades do negócio e, no caso de descumprimento dessas cláusulas, faz-se necessária a previsão de imposição de sanções ao Encarregado, neste ínterim, do dever de diligência.

Daí que tal empregado, como se percebe, precisará de uma alocação diferenciada no organograma da empresa, com descritivo funcional específico e contrato de trabalho, artesanalmente construído. Verifica-se que muitas empresas têm apenas alterado o contrato de trabalho do empregado, acrescendo a função de DPO.

Contudo, é preciso compreender que a função do Encarregado da proteção de dados dentro da organização é de extrema relevância para o cumprimento efetivo da legislação e, daí, de incompatível cumulação com outras tarefas e funções. Ademais, o perfil do profissional ocupante do cargo de Encarregado deverá ser híbrido, calculando-se a responsabilidade do controlador sobre a proteção de dados pessoais desde o momento da escolha de seu DPO até o efetivo incidente de segurança (se ocorrente).

Consequentemente, o grau de responsabilidade do Encarregado, bem como de seu conhecimento acerca da legislação da proteção de dados e da tecnologia da informação, direcionam à contratação de profissional que comprove habilidade(s) específica(s) na(s) área(s).

A legislação não obriga que o profissional possua certificações. No entanto, o conhecimento sobre a matéria é fundamental para evitar (ou ao menos minimizar) os riscos que os incidentes de segurança possam causar. Deve-se lembrar que qualquer incidente de segurança, como o vazamento indevido de dados pessoais, será responsabilidade do controlador de dados pessoais, disso concluindo-se que as indenizações/multas que lhe forem impostas poderão ser majoradas ou minoradas, em razão da postura com relação à proteção de dados que demonstrar (o que inclui a boa ou má escolha de seu DPO).

Sob o prisma trabalhista, o acúmulo ou o desvio das funções originalmente contratadas sempre sinaliza riscos, podendo gerar uma demanda judicial, com pedido de acréscimos salariais, por exemplo, o que vai acabar permitindo a construção de um passivo trabalhista neste sentido.

O Regulamento Europeu de Proteção de Dados dispõe no artigo 38 item nº 6 que o Encarregado pode exercer outras funções e atribuições, desde que não haja conflito de interesses.[12] Em pesquisa recente elaborada pela International Association of Privacy Professionals (IAPP), reconhecida entidade internacional de profissionais de privacidade e proteção de dados pessoais, demonstrou-se que o acúmulo de funções tem sido comum nas empresas.[13]

No entanto, como bem ressalta o Regulamento Europeu, não poderá haver conflito de interesses entre a função de DPO e outras funções ou atribuições. Neste sentido, a Autoridade Belga de Proteção de Dados multou uma empresa de telecomunicações em 50 mil euros, pois o Encarregado da organização ocupava, também, a função de diretor de auditoria, riscos e conformidade, o que geraria evidente conflito de interesses.[14]

Além disso, como já sinalizado, sob a ótica da legislação trabalhista brasileira, é arriscada a alternativa de agregar a função de DPO, aumentando o salário do trabalhador, simplesmente. Há, também, risco relacionado a eventual desvio de função, sendo certo que, se a empresa opta por utilizar um empregado seu, já contratado, para exercer a nova função de DPO, isto precisa estar, ao menos, em um aditivo contratual, que formalize a assunção da nova atividade e o abandono da original (devendo sempre o risco ser provisionado sobre tal atitude).[15]

Sabe-se que o mercado de trabalho está muito aquecido para contratação de  DPO’s e a estimativa do valor do seu salário é muito importante para fins de dimensionamento de eventuais riscos trabalhistas quanto ao contrato de trabalho do Encarregado, pois no caso de condenação por acúmulo de funções, o juízo trabalhista vai considerar o salário de mercado do DPO, deferindo ao empregado um percentual deste, de acordo com o tempo, ao longo do mês, que o empregado conseguir demonstrar que ficava ocupado nas tarefas da função agregada.

Em notícia recente publicada pela Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), evidencia-se avanço significativo no reconhecimento do exercício da função de Encarregado pela proteção de dados. Segundo veiculado, em 29/07/2021 foi incluída e reconhecida a ocupação de Encarregado pela CBO (Classificação Brasileira de Ocupações), com início em 2022. Segundo a ANPPD, a partir de 2022 os Encarregados terão a profissão reconhecida e o uso da equivalência ao idioma inglês, Data Protection Officer (DPO).[16] Sabe-se que a CBO é um documento que, para além de reconhecer a existência de determinada profissão, é obrigatório em registros administrativos para fins de estatísticas e políticas de trabalho.

A função de Encarregado da proteção de dados, apesar de nova no cenário produtivo-trabalhista, ganha forças com o seu reconhecimento pela CBO, e, muito embora ainda não existam parâmetros na doutrina e na jurisprudência, com o enfrentamento concreto das questões relacionadas ao contrato de trabalho desse profissional, deve-se ter a máxima consideração com os aspectos acima mencionados, não sendo recomendado o acúmulo de funções, mesmo mediante acréscimo salarial.

A melhor sugestão seria a abertura de vaga exclusiva para a contratação de profissional específico, mesmo que mediante recrutamento interno nas empresas, podendo, sim, privilegiar algum empregado que possa demonstrar ou, que em curto prazo, possa desenvolver conhecimento e habilidades sobre o tema da proteção de dados pessoais para o exercício da função de Encarregado.

No caso de a empresa escolher por realização de recrutamento interno, é possível treinar esse profissional para o desempenho das atividades de Encarregado da proteção de dados pessoais, recomendando-se que esse profissional realize cursos de certificação, mesmo que durante a sua jornada de trabalho, para a compreensão prática e efetiva da matéria.

O contrato de DPO deve ser elaborado de forma peculiar, pensando em cláusulas singulares ao nicho de mercado, ao formato de relação que se estabelecerá e necessárias à atividade de Encarregado de dados (confidencialidade, sigilo, não concorrência, permanência em face das capacitações que serão custeadas, “garante”, etc.).

Já se argumenta na Europa, inclusive, sobre a possibilidade de inserir em negociações coletivas a discussão sobre eventual estabilidade do Encarregado, em razão da necessária independência e liberdade do exercício das suas atribuições, o que poderia vir a gerar retaliações no ambiente de trabalho, quando, eventualmente, emitisse alguma recomendação embasada nas normas sobre proteção de dados pessoais, mas contrária aos interesses particulares da empresa.

Por todo o exposto, evidencia-se a importância do atendimento às peculiaridades que permeiam o contrato de trabalho do Encarregado pela proteção de dados pessoais, ressaltando a importância do conhecimento da legislação estrangeira e das decisões que têm sido proferidas pelas autoridades de proteção de dados europeias pois, certamente, servirão à Autoridade Nacional de Proteção de Dados (ANPD) brasileira, como parâmetro para suas recomendações.

*Denise Fincato, pós-doutora em Direito do Trabalho pela Universidad Complutense de Madrid (España). Doutora em Direito pela Universidad de Burgos (España). Professora pesquisadora do PPGD da PUCRS. Titular da cadeira nº 34 da Academia Sul-Riograndense de Direito do Trabalho. Advogada e consultora trabalhista no Brasil e em Portugal. Sócia-diretora de Denise Fincato Advogados. CEO do Instituto Workab

*Caroline de Melo Lima Gularte, presidente da Comissão de Proteção de Dados Pessoais da Associação Brasileira de Advogados (ABA/RS). Membro da Comissão Especial de Compliance da OAB/RS. Mestre em Direito pela PUCRS. Especialista em Compliance pela Faculdade de Direito de Coimbra/Portugal. Advogada. Consultora Jurídica em Compliance e Direito Digital em Denise Fincato Advogados. Cofundadora do Instituto Workab

[1] BRASIL. Lei 13.709, de 14 de agosto de 2018. Dispõe sobre a Lei Geral de Proteção de Dados Pessoais. Brasília, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em julho de 2021.

[2] Quanto à possibilidade de terceirização da função de DPO, o Tribunal de Ética do Estado de São Paulo manifestou-se neste mês (julho/2021), permitindo que advogados ou sociedade de advogados desempenhem a atividade de Encarregado da Proteção de Dados, com equipe multidisciplinar, sem que isso se constitua em infração ética. (OAB SP. E-5.604/2021. Disponível em: https://www.oabsp.org.br/tribunal-de-etica-e-disciplina/ementario/2021/e-5-604-2021>. Acesso em: julho de 2021).

[3] BRASIL. Lei 13.709, de 14 de agosto de 2018. Dispõe sobre a Lei Geral de Proteção de Dados Pessoais. Brasília, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em julho de 2021.

[4] BRASIL. Presidente da República. Portaria nº 11, de 27 de janeiro de 2021. Brasília, 2021. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313>. Acesso em julho de 2021.

[5] UNIÃO EUROPEIA. Regulamento (UE) 2016/679, de 27 de abril de 2016. Bruxelas, 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679>. Acesso em julho de 2021.

[6] ALEMANHA. Lei Federal de Proteção de Dados, de 27 de janeiro de 1977. Berlim, 1977. Disponível em: https://www.datenschutz-wiki.de/BDSG_1977>. Acesso em julho de 2021.

[7] GAYO, Miguel Recio. El Delegado de Protección de Datos. In: PIÑAR MAÑAS, José Luis (Dir.). Reglamento General de Protección de Datos: hacia um nuevo modelo europeo de privacidade. Madrid: Editoral Reus, 2016, p. 367-387, p. 377.

[8] O Grupo de Trabalho do Artigo 29 era um grupo europeu independente, que lidava com as questões relacionadas à proteção de dados pessoais e privacidade até 25 de maio de 2018, data em que passa valer o Regulamento Europeu de Proteção de Dados, momento em que o Grupo de Trabalho do Artigo 29 é substituído pela European Data Protection Board, organismo europeu independente, que contribui para a aplicação consistente das regras da proteção de dados pessoais em toda União Europeia.

[9] BRASIL. Decreto-Lei nº 2.848, de 7 de dezembro de 1940. Código Penal. Brasília, 1940. Disponível em: http://www.planalto.gov.br/ccivil_03/Decreto-lei/Del2848compilado.htm>. Acesso em julho de 2021.

[10] Nesse sentido:  ROBES PLANAS, Ricardo. El responsable de cumplimiento (“compliance officer”) ante el Derecho Penal. In: SÁNCHEZ, Jesús-María Silva; FERNANDEZ, Raquel Montaner (Org.). Criminalidad de empresa y compliance. Barcelona: Atelier, 2013, p. 325.

[11] No julgamento da Ação Penal 470, o STF condenou o Compliance Officer do Banco Rural, pelos crimes de gestão fraudulenta e lavagem de dinheiro, por ter omitido do Banco Central nomes de beneficiários do esquema criminoso chamado “Mensalão”. (BRASIL. Supremo Tribunal Federal. Ação Penal 470 MG. Brasília, 2013. Disponível em: https://www.conjur.com.br/dl/ementa-acordao-mensalao.pdf>. Acesso em julho de 2021).

[12] “O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.” (UNIÃO EUROPEIA. Regulamento (UE) 2016/679, de 27 de abril de 2016. Bruxelas, 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679>. Acesso em julho de 2021

[13] INTERNATIONAL ASSOCIATION OF PRIVACY PROFESSIONALS (IAPP). IAPP-EY Annual Governance Report 2019. Portsmouth: IAPP, 2019. Disponível em: https://iapp.org/store/books/a191P000003Qv5xQAC/>. Acesso em julho de 2021.

[14] NOVAES, Manuela. DPO e o conflito de interesses: entenda o precedente belga. LGDP News, 24 de fevereiro de 2021. Disponível em: https://lgpdnews.com/2021/02/dpo-e-o-conflito-de-interesses-entenda-o-precedente-belga/>. Acesso em julho de 2021.

[15] No acúmulo de funções, o trabalhador buscaria diferenças salariais compensatórias do acréscimo de trabalho que passou a exercer em concomitância ao seu e, no desvio de função, o salário da função que passou a desempenhar em substituição ao originário. As alterações funcionais desfavoráveis podem ser questionadas judicialmente. Conforme Delgado: “Ressalte-se que a gravidade da alteração funcional lesiva pode inclusive ensejar a configuração de justa causa empresarial, propiciando (desde que presentes, por óbvio, os demais requisitos da justa causa) a rescisão indireta do contrato. É que a CLT tipifica como infração do empregador exigir do empregado “…serviços superiores às suas forças, defesos por lei, contrários aos bons costumes, ou alheios ao contrato” (alínea “a”, art. 483, CLT; grifos acrescidos). Na mesma linha, embora com maior amplitude, situa-se a tipificação feita pela alínea “d” do mesmo art. 483: “não cumprir o empregador as obrigações do contrato.” (DELGADO, Maurício Godinho. Curso de direito do trabalho. 17. ed. rev. ampl. São Paulo: Editora LTr, 2018, p. 1217).

[16] ANPPD – Associação Nacional dos Profissionais de Privacidade de Dados. Disponível em: . Acesso em julho de 2021.

Notícias relacionadas

Comentários

Os comentários são exclusivos para assinantes do Estadão.