Quem quer e pode ser DPO? 

Quem quer e pode ser DPO? 

Livia Cunha Fabor*

17 de setembro de 2020 | 17h44

Livia Cunha Fabor. Foto: Divulgação

Desde a decisão do Senado em manter a vigência da Lei Geral de Proteção de Dados, Lei 13.709/2018, a LGPD, para agosto de 2020, mediante rejeição do artigo incluído na Medida Provisória 959/2020, que a prorrogava para maio de 2021, muitas dúvidas tem surgido quanto quais são as medidas necessárias para o efetivo cumprimento das obrigações nela previstas. 

A LGPD é, de fato, evasiva em diversos aspectos de como alcançar o Compliance aos seus termos, mas um ponto é pacífico e não gera dúvidas quanto à adimplência: a indicação de um encarregado de dados no “sítio eletrônico” (palavras da lei) da empresa, conforme prevê o Art. 41, parágrafo 1º.

A intenção do legislador, ao impor a referida indicação, é assegurar que as pessoas físicas, destinatárias dos direitos e garantias previstos na LGPD, saibam a quem recorrer para requerê-los e que, da data do protocolo da sua solicitação, será respondido. O encarregado é um mecanismo de efetividade dos direitos e garantias do titular. É ele que ficará responsável por “correr atrás” das solicitações do titular e por responder, de forma satisfatória e clara, sobre a legitimidade do tratamento de dados em relação àquele que o questiona.  

Superado o entendimento quanto à sua função no novo ordenamento, começam as perguntas começam em relação a quem ocupará essa posição; quais são as habilidades técnicas que o encarregado deve ter; quais são suas responsabilidades; qual é o tipo de relacionamento que deve ser mantido, apenas para elencar as mais imediatas.

A nossa legislação se assemelha à legislação europeia, o General Data Protection Regulation – GDPR, que prevê um Data Protection Officer, DPO, para fazer o relacionamento entre os titulares de dados pessoais, os agentes de tratamento e as autoridades competentes. 

Um dos pontos que gera preocupações é justamente a tradução de Data Protection Officer, que pode ser traduzido como “Diretor de Proteção de Dados”. Desde já surgem questionamentos se o encarregado deve ser um Diretor, indicado nos atos societários e com as responsabilidades que a lei societária traz aos administradores de sociedades empresárias.  

A LGPD, no artigo 5º, VIII, define o encarregado de dados como “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção Dados (ANPD)”. 

Na ocasião da promulgação da LGPD, a definição continha a delimitação de que deveria ser uma pessoa física, suprimida após revisões no texto. Nesse sentido, fica claro que, ao suprimir o artigo, a LGPD autorizou que o encarregado seja pessoa física ou jurídica, seguindo a tendência da Europa, que já assimilou o conceito de DPO’s terceirados exercidos por consultorias especializadas, contratadas para esse papel.

Se permitido o exercício por pessoa jurídica terceirizada, fica claro que o encarregado, se pessoa física, não precisa ser empregado ou ter vínculo societário, cujo patrimônio pessoal pode, inclusive, ser atingido por contingências da empresa, em situações específicas previstas em lei. 

A LGPD indica, nos incisos do parágrafo 2º, do Art. 41, quais são as obrigações do encarregado que, se resumem a ser ponto de contato e, se pactuado entre as partes ou por normas complementares futuras e ainda não vigentes, outras atribuições. 

Sendo assim, não existe perfil, habilidade, cursos e/ou formação pré-determinada ou que seja hierarquicamente melhor ou pior na seleção e indicação do encarregado da empresa. O importante é que essa pessoa, terceirizado, conjunto de pessoas (pode ser um comitê, grupo multidisciplinar) seja capaz de receber, endereçar e responder, tempestivamente, no prazo de 15 dias, conforme prevê a legislação, o que foi demandado pelo titular de dados e/ou autoridades. A funcionalidade do canal é o ponto crucial para o atendimento da obrigação.

Apesar de não haver perfil definido em relação a quem exercerá a função de encarregado e silêncio da LGPD quanto aos requisitos de indicação, alguns pontos devem ser considerados, como boa prática, a fim de evitar riscos de questionamentos futuros tais como idoneidade do profissional ou empresa que atuará como encarregado; a ausência de conflito de interesses entre o exercício do papel do encarregado e os da empresa, considerando que este recebe reclamações e terá a responsabilidade por endereçamento; o conhecimento de fluxos e processos da empresa; e o livre trânsito desse profissional e/ou consultoria para coletar as informações necessárias ao pronto atendimento do titular. 

Como a LGPD é recém chegada no nosso ordenamento jurídico e a cultura de proteção de dados é recente, não só no Brasil, como no mundo, decorrente da automatização e inovações tecnológicas, é normal a constante dúvida até que os tribunais elucidem através de bons julgamentos que decorrem da experiência advinda de maus julgamentos, já ensinou o escritor americano Mark Twain.

*Livia Cunha Fabor é advogada e a head de compliance do Martinelli Advogados

Comentários

Os comentários são exclusivos para assinantes do Estadão.