Terceirização do encarregado - Muito além do DPO as a service
Sem dúvida, diante da sua relevância e responsabilidades, a nomeação do DPO é um desafio a ser cumprido, seja pela amplitude temática ou conhecimento multidisciplinar inerente a atividade.
segunda-feira, 27 de janeiro de 2020
Atualizado às 11:20
Em outubro de 2019 já ponderei que a Governança é o epicentro da jornada de Compliance em Proteção de Dados Pessoais, pois a pedra de toque em qualquer plano de adequação à LGPD é o desenvolvimento, implantação e manutenção perene da estrutura de Governança em Privacidade e Proteção aos Dados Pessoais.
Mas não há como desenvolver tal estrutura sem a criação e o chancelamento da área que cuidará do tema nas empresas.
A LGPD pecou ao ser extremamente rasa justamente na figura central da governança, o Encarregado (Data Protection Officer - DPO), que deverá ser indicado pela empresa, com identidade e informações de contato divulgadas publicamente, de forma clara e objetiva, preferencialmente em seu portal, com as seguintes responsabilidades, previstas em lei:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O GDPR, de forma muita mais densa, em razão da importância do cargo, prevê que o DPO é designado com base nas suas qualidades profissionais e, em especial, no seu conhecimento jurídico especializado e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as seguintes funções:
- Informar e aconselhar a empresa e seus colaboradores que tratem dados pessoais a respeito das suas obrigações;
- Controlar a conformidade com o GDPR e demais normas aplicáveis, incluindo o compartilhamento de responsabilidades, a sensibilização e formação dos profissionais que sejam competentes por operações de tratamento de dados;
- Avaliar e aconselhar, quando pertinente, acerca dos relatórios de impacto;
- Cooperar e ser o ponto de contato com as autoridades competentes.
A figura do DPO, conforme o GDPR, é tão relevante que deve contar com autonomia e independência, sendo vedada cumulação de funções que resultem em conflito de interesses.
São deveres dos agentes de tratamento, quanto ao DPO, de acordo com o GDPR:
- Fornecer os recursos necessários ao desempenho de suas funções e à manutenção do seu conhecimento;
- Franquear acesso aos dados pessoais e às operações de tratamento;
- Não interferir no exercício de suas funções;
- Não demitir ou penalizar o DPO no exercício regular de suas funções;
- Garantir que o DPO reporte e responsa diretamente a direção no seu mais alto nível.
Sem dúvida, diante da sua relevância e responsabilidades, a nomeação do DPO é um desafio a ser cumprido, seja pela amplitude temática ou conhecimento multidisciplinar inerente a atividade.
A LGPD prevê que a nomeação do DPO é obrigatória para os controladores e a Autoridade Nacional deverá estabelecer normas complementares sobre a sua definição e atribuições, inclusive hipóteses de dispensa da necessidade de sua indicação, o que é cogente.
Assim, mediante uma análise contundente, principalmente, da natureza e do porte da organização, do volume e da criticidade das operações de tratamento de dados, bem como da avaliação do cumprimento das melhores práticas, a utilização de serviços externos de DPO, que vão muito além da possibilidade do DPO as a Service, podem se apresentar como uma potencial solução para dar vazão ao epicentro da jornada de conformidade à LGPD, que, como já dito, é a governança.
Vejamos algumas das diversas possibilidades:
1) Apoio na estruturação e na contratação de DPO interno
a) Definição da posição do DPO: visa auxiliar a empresa a definir em qual estrutura organizacional o DPO deve ser inserido, além de suas atribuições e alçadas de decisão, visando garantir a sua independência e ausência de conflito de interesses.
b) Apoio na contratação do DPO: visa fornecer os insumos necessários à área de Recursos Humanos para contratação do DPO.
c) Mentoria para o DPO: visa preparar o DPO para exercer todos os aspectos de sua posição.
2) DPO as a Service
A terceirização do DPO consiste em apontar uma pessoa jurídica para assumir esta função perante a autoridade nacional e aos titulares dos dados pessoais.
Ao assumir esta posição, o prestador de serviço conduzirá uma série de atividades junto à empresa para que o Programa de Privacidade ganhe efetividade prática, incluindo mas não se limitando a:
- Gestão do Programa de Privacidade
- Atualização periódica do Data Mapping
- Opinar e monitorar os Relatórios de Impacto à Proteção de Dados Pessoais
- Dar efetividade a gestão das respostas às requisições dos titulares
- Apoiar no desenvolvimento de projetos
- Monitorar e fiscalizar a conformidade
- Treinar e comunicar visando a conscientização plena de todos os envolvidos
- Monitorar novas regulamentações da LGPD e normas setoriais;
- Relacionamento com a ANPD
Nesse caso, conforme orientação do antigo Art. 29 Working Party, validada pelo European Data Protection Board (EDPB), por uma questão de segurança jurídica e para evitar conflitos de interesse, recomenda-se, no contrato de serviço, uma disposição clara de todas as tarefas que serão exercidas pelo DPO as a Service, assim como designar um indivíduo como contato principal no prestador de serviço e a pessoa "responsável" do cliente.
3) Apoio ao DPO
Aplicável para a empresa que decidiu pela nomeação de um DPO próprio, mas em razão do volume de trabalho ou a falta de recursos (tempo, ferramentas, entre outros) o impossibilite de realizar todas as atividades que a função exige, como:
- Apoio na implantação de sistemas para gestão do Programa de Privacidade
- Apoio técnico-jurídico no desenvolvimento de novos projetos que envolvam dados pessoais
- Apoio nos Relatórios de Impacto à Proteção de Dados Pessoais
- Implantação e condução do Comitê de Privacidade
- Treinamento de colaboradores
- Relacionamento com a Autoridade Nacional de Proteção de Dados
- Simulação para garantir o funcionamento do plano de resposta à incidentes
- Atuação em incidentes de violação de dados pessoais
- Monitoramento de leis e normas
4) Conselheiro - Comitê de Privacidade
Caso a organização possua um DPO, porém, a maturidade de seu Programa de Privacidade ainda é menor que o desejado, a composição do Comitê de Privacidade com um profissional externo, com maior experiência no assunto, pode auxiliar na tomada de decisões e na condução das discussões.
Por fim, é importante ponderar que referidas terceirizações podem funcionar também de forma temporária, como gatilho para o estabelecimento inicial da área interna de governança em proteção de dados, ao menos até que a organização consiga seguir sem ajuda externa.
__________
*Rony Vainzof é advogado sócio do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, professor e árbitro, especializado em Direito Digital e Proteção de Dados.