4.A FIGURA DO “DATA PROTECTION OFFICER” – DPO
4.1. Conceitos introdutórios
A terminologia vem do inglês, que em tradução livre, significa “Chefe de Proteção de Dados”, e ficou conhecida na recente doutrina pela sigla DPO. O cargo é previsto na LGPD com a denominação de “encarregado”, que consoante o art. 5º, VII, trata-se da pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O DPO, ou encarregado, funcionará como o elo entre o cliente ou usuário e a empresa coletora dos dados, onde sua principal função será garantir que as determinações estipuladas pela LGPD sejam cumpridas, evitando, desta forma, imbróglios envolvendo questões de compliance, ciberataques, vazamentos ou até mesmo o uso inadequado de dados.
Trata-se de um cargo com elevada função estratégica dentro da empresa controladora do tratamento dos dados, haja vista as sanções previstas para serem aplicadas pela ANPD, que entrarão em vigor a partir de agosto de 2021. Sanções estas que podem ir de advertência simples até multa de R$ 50 milhões, dependendo do faturamento da empresa.
4.2. Aplicação profissional do DPO na Lei de Dados
Para tal função, é fundamental conhecimento técnico sobre a nova legislação e um conhecimento amplo sobre o organograma da empresa controladora dos dados, assim como da sua carteira de clientes. Para ocupar o cargo, não se vincula ser uma pessoa física ou jurídica, nem categoria específica, podendo ser um contador, um advogado, um administrador, consultor de T.I, ou outro funcionário da empresa que possui domínio sobre o assunto.
O RGPD europeu instituiu esta figura de profissional em sua legislação, determinando sua obrigatoriedade em determinadas situações, tais como: tratamento de dados feitos por uma autoridade ou organismo público (exceto Tribunais); quando a instituição está envolvida em monitoramento sistemático (e em larga escala) de dados pessoais de usuários; e quando a entidade processa ou controla dados pessoais sensíveis ou relativos a condenações criminais.
No Brasil, a questão de obrigatoriedade não está totalmente alinhada com a legislação europeia, que serviu de base para o texto da LGPD sobre a atuação do DPO:
E quais são as atividades do Encarregado de Dados? (I) – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (II) – receber comunicações da autoridade nacional e adotar providências; (III) – orientar aos funcionários e aos contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (IV) – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Sendo assim, podemos concluir que o papel do Encarregado de Dados é obrigatório, possuindo um papel determinado, até que a ANPD diga ao contrário. Pode ser uma pessoa física ou jurídica, desde que com expertise para atuar em tal função (TRIVIÑO, 2021).
Fica a questão de como as empresas no Brasil estão lidando com a situação no novo cargo a ser considerado em suas estruturas. A PK HUB, da cidade de São Paulo, realizou uma pesquisa em outubro de 2020 com empresas de diversos setores sobre os procedimentos relacionados à LGPD.
Alguns dados monstram-se relevantes na pesquisa, tais como: 53,3% das empresas pesquisadas ainda não nomearam um encarregado para a proteção de dados (DPO); 66,7%, ou seja, dois terços, ainda não treinou seus colaboradores sobre as práticas a serem adotadas em relação à Lei de Dados; e por fim, um bem alarmante, 73,3% das empresas pesquisadas ainda não estabeleceram políticas adequadas sobre os riscos à privacidade dos dados.
Segundo Martins Júnior (2020), pode-se concluir que o exercício da profissão de DPO é muito complexo e que exige múltiplos conhecimentos e habilidades, atribuindo-lhe muitas responsabilidades. A pesquisa também demonstrou que mesmo com a LGPD tendo entrado em vigor, a maioria das empresas ainda não fizeram sequer os primeiros passos no sentido de implementar um programa de governança em privacidade, que, caso existisse, facilitaria o trabalho do DPO.
CONCLUSÃO
Em linhas finais, nota-se que em virtude de ser uma legislação ainda muito recente, inclusive com pontos que sequer entraram em vigência até a redação do presente trabalho, muitas empresas estão em um estágio rudimentar quanto à aplicação das diretrizes da LGPD, o que vai requerer muito estudo e trabalho por parte da comunidade jurídica.
Entender os conceitos sobre o que a Lei de Dados tutela ou não, suas hipóteses de incidência de responsabilidade por conta das empresas controladoras destas informações, é fundamental para evitar sanções que podem ser milionárias, mas também pode tornar menos complexo e mais eficiente o trabalho do encarregado da proteção de dados, que ficou conhecido pela sigla em inglês DPO.
Ao colocar os limites da responsabilidade civil por parte das empresas, abre um leque de informações técnicas e caminhos viáveis para o profissional que irá executar na prática a implementação da lei específica que é exegível às instituições coletoras e operadoras dos dados pessoais de usuários e clientes, garantindo o direito básico da liberdade, da segurança e da privacidade do conteúdo que são lhes são confiados.
Tendo em vista o exposto, mostrou-se que a Lei Geral de Proteção de Dados veio para regulamentar lacunas que a modernidade tecnológica trouxe para as pessoas, onde não se tinha noção de resolver danos materiais ou morais sobre vazamento ou uso indevidos de informações pessoais fornecidas geralmente para empresa. A LGPD e a atuação dos profissionais acaba por trazer um novo ramo dentro do Direito Civil, que além do Contratual, mas também do Consumerista, ver advir o “caçula” Direito Digital.
6.REFERÊNCIAS
BEZERRA, Juliana. "Ciclos Econômicos do Brasil"; Toda Matéria. Disponível em: https://www.todamateria.com.br/ciclos-economicos-do-brasil/. Acesso em 22 de abril de 2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: 22 de abril de 2021.
CAPANEMA, Walter Aranha. A responsabilidade civil na Lei Geral de Proteção de Dados. Disponível em: https://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_6_a_responsabilidade_civil.pdf?d=637250347559005712. Acesso em: 22 de abril de 2021.
CONSULTOR JURÍDICO. "Juíza aplica LGPD e condena construtora que não protegeu dados de cliente"; Disponível em: https://www.conjur.com.br/2020-set-30/compartilhar-dados-consumidor-terceiros-gera-indenizacao. Acesso em 1 de julho de 2021.
EUROPA. Regulamento Geral sobre a Proteção de Dados. Disponível em: https://gdprinfo.eu/pt-pt. Acesso em: 8 de julho de 2021.
MARTINS JÚNIOR, Mauro Roberto. O que não te contaram sobre ser um DPO. São Paulo: PK HUB, 2020.
MARX, Karl. "A Companhia das Índias Orientais: sua história e as consequências de sua atividade"; New Tork Daily Tribune. Disponível em: http://www.dominiopublico.gov.br/download/texto/ma000034.pdf/. Acesso em 22 de abril de 2021.
TRIVIÑO, Aline. "A obrigatoriedade e as atribuições do DPO na LGPD"; Law Innovation. Disponível em: https://lawinnovation.com.br/a-obrigatoriedade-e-as-atribuicoes-do-dpo-na-lgpd/. Acesso em 9 de julho de 2021.
WACHOWICZ, Marcos (Org.). Proteção de dados pessoais em perspectiva: LGPD e RGPD na ótica do direito comparado. Curitiba: GEDAI / UFPR, 2020.