DPO: conheça 4 riscos em se internalizar a função

Saiba qual é o significado de DPO na LGPD

O DPO (Data Protection Officer),também conhecido como Encarregado de Dados Pessoais, é o principal responsável por manter a conformidade das organizações com a LGPD, sendo considerado o verdadeiro guardião do Programa de Governança em Privacidade.

Segundo a Lei Geral de Proteção de Dados Pessoais (LGPD), o DPO deve ser uma pessoa, natural ou jurídica, indicada pelo controlador, para atuar, principalmente, como um canal de comunicação entre o agente de tratamento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

1º Risco: acumulação ilegal de funções do DPO

A escolha do DPO ou do Encarregado de Dados Pessoais é desafiadora e estratégica para as organizações, pois em diversos casos, o profissional que irá assumir essa função já detém uma outra posição estabelecida dentro da empresa.

E aqui se encontra o primeiro grande risco do ponto de vista de obrigações de compliance. É que o Ministério do Trabalho, por meio da Classificação Brasileira de Ocupações, passou a regulamentar a função de Encarregado de Dados Pessoais, cabendo ao DPO, entre outras atribuições, as de:

Nesse sentido, em que pese não existir, a priori, a vedação legal de acúmulo de funções do ponto de vista da legislação de privacidade, é possível que certas situações possam vir a configurar uma possível ilegalidade, em razão da realização de atividades extras, sem qualquer acréscimo salarial por parte do colaborador.

Isso porque, “o acúmulo de função se caracteriza por um desequilíbrio qualitativo ou quantitativo nas funções inicialmente ajustadas entre empregado e empregador, quando então este passa a exigir daquele, concomitantemente, outros afazeres alheios ao contrato, sem a devida contraprestação. Segundo lição da doutrina, a função é um conjunto coordenado de tarefas e o simples exercício de algumas tarefas componentes de outra função não traduz, por si só, a ocorrência de uma alteração funcional no tocante a um dado empregado. Somente se pode cogitar de acúmulo funcional quando as atividades que o laborista sustenta ter exercido acumuladamente constituam, de fato, uma outra função, à luz das normas e demais regulamentos aplicáveis” (RO 0000724-68.2011.5.03.0144 MG 0000724-68.2011.5.03.0144, 4ª Turma, Rel. Des. Sueli Teixeira).

Assim, “o acúmulo de atividades correlatas e/ou complementares à função – e realizadas durante a jornada de trabalho – não implica acúmulo de funções, desde que compatíveis com a condição pessoal do trabalhador e que não provoque desvirtuamento da função principal (inteligência do parágrafo único, do CLT, art. 456)” (RO 0002031-10.2015.5.09.0028 PR, 7ª Turma, Rel. Des. Altino Pedrozo).

Diante desse contexto, cabe à Organização definir seu apetite de risco em relação ao tema, antes mesmo de designar um colaborador para exercer a função de DPO, a fim de se evitar futuros dissabores.

2º Risco: conflitos de interesses do DPO

Por certo, conflitos de interesse poderão ocorrer quando o DPO ou o Encarregado de Dados Pessoais desempenhar uma função dentro da organização que o leve a determinar as finalidades e os meios de tratamento de dados pessoais, bem como os meios para a sua fiscalização.

Nesse contexto, o European Data Protection Board (EDPB), por meio das suas Orientações sobre os encarregados da proteção de dados (EPD), recomenda que, a depender das atividades, do tamanho e da estrutura da organização, pode ser uma boa prática para os agentes de tratamento:

O que se vê, portanto, é que a ausência de conflitos de interesses está intimamente ligada ao requisito de independência do DPO ou do Encarregado de Dados Pessoais. Assim, em que pese esteja autorizado a desempenhar outras tarefas, o DPO só pode ser incumbido de outras funções e atribuições se estas não derem origem a conflitos de interesses.

Segundo as Orientações sobre os encarregados da proteção de dados (EPD) da EDPB, “regra geral, os cargos suscetíveis de gerar conflitos no seio da organização podem incluir não só os cargos de gestão superiores (por exemplo, diretor executivo, diretor de operações, diretor financeiro, diretor do departamento médico, diretor de marketing, diretor dos recursos humanos ou diretor informático), mas também outras funções em níveis inferiores da estrutura organizacional, se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento”.

Cabe mencionar aqui, inclusive, um caso emblemático envolvendo a Autoridade Belga de proteção de dados pessoais e uma operadora de telefonia local, em que houve a aplicação de multa de 50 mil euros, em razão de a empresa ter permitido que o DPO acumulasse a função de compliance officer, em nítido conflito de interesses.

Como se vê, o acúmulo de funções ou a simples designação de um colaborador para exercer a função de DPO não importa, a princípio, qualquer violação à legislação de privacidade, podendo, contudo, gerar situações que gerem riscos de compliance à organização.

3º Risco: falta de capacidade técnica adequada do DPO

A falta de capacidade técnica adequada para exercer a função de DPO ou de Encarregado de Dados Pessoais é um dos principais riscos de compliance pelos quais as organizações podem passar.

De acordo, com as Orientações sobre os encarregados da proteção de dados (EPD) da EDPB, o DPO deve ser designado com base nas suas “qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio das normas e práticas de proteção de dados, bem como na sua capacidade para desempenhar as respetivas funções”.

Por sua vez, “o nível necessário de conhecimentos especializados deverá ser determinado em função das operações de tratamento de dados realizadas e da proteção exigida para os dados pessoais objeto de tratamento. Por exemplo, se a atividade de tratamento de dados for particularmente complexa, ou se estiver em causa uma grande quantidade de dados sensíveis, o EPD poderá necessitar de um nível de competências e de apoio mais elevado”.

As competências e conhecimentos especializados pertinentes incluem:

Como se percebe, o conhecimento técnico por parte do DPO é condição indispensável para a devida adequação das organizações à LGPD, uma vez que elas precisam adotar medidas técnicas e administrativas aptas a traduzir os requisitos legais de privacidade e proteção de dados em ações e controles baseados em riscos, concretos e verificáveis.

Por essas razões, o DPO ou o Encarregado de Dados Pessoais precisa ter profundo conhecimento técnico, legal e das particularidades da organização, pois desempenhará uma função estratégica.

4º Risco: impossibilidade de dedicação exclusiva para a o exercício da função de DPO

Devido as características inerentes à função, o DPO deve estar disponível para cumprir com prontidão suas responsabilidades, atendendo em tempo hábil às solicitações de titulares e autoridades, bem como, prestando orientações de forma devida e adequada para os colaboradores da organização, quanto a proteção e privacidade de dados.

Por essas razões, é imprescindível assegurar a dedicação exclusiva do DPO, a fim de que ele possa bem desempenhar seu papel e cumprir com suas responsabilidades.

O DPO é essencial para o cumprimento do accountability em relação a LGPD, participando diretamente na supervisão, implementação e consolidação de um programa de governança em privacidade de dados, nos moldes previstos no art. 50 da LGPD.

Na eventualidade do DPO interno estar impossibilitado de desempenhar efetiva e plenamente seu papel, a organização poderá sofrer riscos desnecessários ou descumprir requisitos legais e normativos, podendo redundar em penalizações administrativas ou judiciais.

Cabe considerar que a implementação de ações voltadas para proteção e privacidade de dados é complexa, o que requer por parte das organizações, planejamento e esforços concentrados, desenvolvidos de forma coordenada e bem direcionada. Sem a necessária dedicação do DPO, os esforços de adequação e conformidade à LGPD podem ser prejudicados.

De fato, o DPO precisa estar devidamente envolvido nas questões de proteção de dados, desde a análise de produtos, avaliações de risco e incidentes de segurança, participando de discussões e decisões relativas ao tratamento de dados.

O envolvimento do DPO é fundamental para o atendimento às expectativas das entidades reguladoras. Ao interagir com tais entidades – como é o caso da ANPD, a organização deve apresentar posições e abordagens consistentes e alinhadas às questões de privacidade de dados em todas as funções corporativas.

Conclusão

No cenário da proteção e privacidade de dados, o DPO desempenha um importante papel. A internalização dessas responsabilidades pode redundar em riscos paras as organizações, visto que o Encarregado de Dados Pessoais deverá estar preparado, tanto em termos comportamentais, quanto técnicos, para desempenhar uma série de atividades, tais como:

• Desempenhar papel central no planejamento, implementação e supervisão do programa de governança em privacidade – o DPO pode ser visto como um maestro de uma orquestra, operando em coordenação com outras atividades corporativas em todas as etapas de concepção e manutenção do programa de governança em privacidade;
• Reportar-se à alta administração e/ou ao Conselho;
• Ter profundo conhecimento da organização, levando em consideração que o DPO fará recomendações ou tomará decisões, que poderão causar algum impacto na empresa;
• Envolver-se na estratégia de tratamento de dados e nas decisões relacionadas – por exemplo, ser consultado pela empresa nos estágios iniciais de desenvolvimento de produtos/serviços, garantindo que a privacidade seja levada em consideração desde o princípio (privacy by design);
• Ser referência nas questões de proteção e privacidade de dados, com base na comunicação clara e objetiva com todas as partes relevantes da organização (por exemplo, por meio de políticas internas, bem como por meio de treinamento e conscientização);
• Participar das decisões da organização sobre os riscos de privacidade de dados e responder a perguntas sobre avaliações de riscos;
• Aplicar uma abordagem baseada em risco, priorizando áreas e projetos de maior risco para titulares e também para a organização;
• Manter uma relação de confiança com a autoridade de proteção de dados (a ANPD, no Brasil) e atuar como seu principal interlocutor e ponto de contato.

Por esse motivo, antes de internalizar a função de DPO ou de Encarregado de Dados Pessoais, recomendamos que a organização pondere os riscos de compliance, a fim de evitar possíveis situações indesejadas.