Data Protection Officer (Encarregado) - Ed. 2020

Data Protection Officer (Encarregado) – Teoria e Prática de Acordo com a Lgpd e o Gdpr – Gestão de Terceiros

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Samanta Oliveira 1

Dentre as diversas atribuições e responsabilidades do Data Protection Officer 2 ou Encarregado 3 , (“DPO”), um dos principais focos de atuação desse especialista consiste em materializar o processo de adequação, seja para o acatamento das exigências da Lei Geral de Proteção de Dados (“LGPD”) 4 seja para atender as diretrizes e determinações do General Data Protection Regulation (“GDPR”). Superado o desafio inicial da implementação, o DPO ingressa em uma nova etapa, igualmente desafiadora, e cujo propósito consiste em encontrar a precisão e o equilíbrio do investimento de tempo, recursos humanos, tecnológicos e financeiros, tanto para manutenção quanto para comprovação, do compliance com as leis de privacidade e proteção de dados, responsável por assegurar a conformidade regulatória de todos os agentes de tratamento de dados da organização.

O objeto desta breve reflexão pretende, a partir da delimitação do escopo da análise, imprescindível diante da vastidão e complexidade das atividades inerentes à figura do DPO nas organizações, se concentrar nos aspectos práticos e teóricos da gestão de terceiros, refletidos na perspicácia e discernimento empregados por este profissional no exercício de suas funções. O núcleo do estudo irá demonstrar os desafios inerentes ao acompanhamento e supervisão destes agentes de tratamento para garantir a aplicabilidade dos princípios e fundamentos da proteção de dados previstos pela legislação estão sendo, de fato, respeitados.

Para isso, este trabalho foi dividido em quatro partes destinadas a expor a relevância da atuação do DPO para assegurar o compliance com a legislação de proteção de dados. A primeira parte apresentará as atribuições legais determinadas tanto pela LGPD quanto pelo GDPR, bem como os pontos de proximidade e conexão entre os diplomas normativos. Na sequência, procura-se expor os esforços e estratégias para o exercício das atividades do DPO na materialização e implementação da governança na organização seguido da gestão de terceiros no ecossistema. A quarta parte deste trabalho está focada nas prerrogativas necessárias para construção, implementação e manutenção da governança destinada a demonstrar a conformidade regulatória dos terceiros. A parte final objetiva oferecer, sem a pretensão de esgotar a discussão, uma breve conclusão acerca dos tópicos apresentados ao longo das breves reflexões aqui compartilhadas.

Com essa perspectiva, o estudo objetivará enfatizar a complexidade do debate a respeito da accountability 5 que circunda todas as ações adotadas pelo DPO no exercício de suas funções na proteção de dados, e os reflexos desta atuação na gestão de terceiros.

1.O papel do DPO na construção e manutenção da governança

A figura do DPO encontra-se prevista 6 no GDPR 7 e impõe aos profissionais da área a execução de cinco 8 atribuições 9 principais, quais sejam, (i) informar e aconselhar a organização por meio de seus respectivos representantes, assim entendidos como seus empregados, colaboradores, administradores, sócios, diretores, consultores e contratados, acerca das práticas a serem adotadas pela organização para a proteção de dados pessoais, (ii) acompanhar e supervisionar o cumprimento do GDPR na concretização das práticas, políticas e procedimentos em relação à proteção de dados pessoais no tratamento dos dados pessoais realizado pela organização, (iii) prestar consultoria, se requisitado, na avaliação de impacto à proteção de dados, (iv) cooperar com as autoridades de proteção de dados, e (v) atuar como ponto de contato da autoridade de proteção de dados por meio do recebimento de comunicações e adoção de providencias aplicáveis. Na prática o exercício das atividades dos itens (iv) e (v) estão interconectados.

De acordo com a opinião 10 do Working Party 29 (“WP29”), cujo entendido encontra-se endossado pelo European Data Protection Board (“EDPB”) 11 , o conceito de “atividades principais” do DPO, fundamentado na óptica da considerando 97 do GDPR, deve ser compreendido como sendo as operações essenciais e necessárias para alcançar os objetivos da organização.

A opinião do WP29, a partir da aplicação hermenêutica no conceito atividades principais, admite que as atividades backoffice 12 , ou seja, aquelas destinadas a servir de apoio para o desenvolvimento da organização, e portanto, necessárias para sua sobrevivência, estão inclusas no campo de atuação do DPO. O estudo prossegue contemplando na atuação do DPO a possibilidade de agregar no seu campo de atuação o exercício de outras atividades, sempre que estas forem essenciais às operações de tratamento desempenhadas pela organização para o desenvolvimento de sua atividade comercial.

Inspirada no GDPR, a LGPD incorporou, de forma substancial, as atividades do DPO previstas no regulamento europeu. Com isso, em âmbito nacional o DPO será responsável por (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, (ii) receber comunicações da autoridade nacional e adotar providências, (iii) orientar os representantes da organização a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pela organização ou estabelecidas em normas complementares. 13

Apesar das evidentes semelhanças entre a LGPD e o GDPR, os diplomas normativos apresentam diferenças 14 relevantes no escopo da atuação do DPO. Dentre as diferenças existentes, importa para o objeto deste estudo discorrer apenas sobre as duas diferenças encontradas no caráter obrigatório da indicação do DPO porquanto interfere na amplitude do da execução do escopo de sua atuação.

Uma das diferenças consiste na obrigatoriedade expressa da indicação do DPO, tanto para controladores 15 quanto para operadores 16 , imposta pelo GDPR. Por outro lado, para o legislador brasileiro a obrigatoriedade 17 dessa indicação é expressa apenas para o controlador. A outra diferença reside nas hipóteses das situações que invocam obrigatoriedade da indicação do DPO. Enquanto o GDPR impõe o caráter obrigatório 18 da indicação do profissional, independentemente de sua classificação da organização como controladora ou operadora, na ocorrência de três situações 19 específicas, quais sejam (i) quando o tratamento for realizado por uma autoridade ou órgão público, (ii) sempre o tratamento consistir em operações de processamento que, devido à sua natureza, escopo e / ou finalidade, requerem monitoramento, de forma regular e sistemático, dos titulares de dados em grande escala, ou (iii) quando o tratamento depender do processamento em grande escala de categorias especiais de dados ou em dados pessoais relacionados a condenações e infrações penais, a LGPD não limita tampouco especifica as situações em a obrigatoriedade deve ocorrer.

É importante esclarecer que, a LGPD facultou a Autoridade Nacional de Proteção de Dados (“ANPD”) 20 a possibilidade de estabelecer normas complementares para dispor sobre as atribuições do DPO, bem como sobre o caráter obrigatório de sua indicação diante das particularidades do agente responsável pelo tratamento. Portanto, as diferenças apresentadas acima estão sujeitas a revisão assim que a ANPD for constituída.

Igualmente importante é acrescentar que, com base no European Data Protection Board, a nomeação voluntária do DPO pelas organizações atrai a incidência de todas as atribuições previstas tanto no GDPR quanto na LGPD como se a designação fosse obrigatória.

A partir da definição regulatória do escopo das atribuições do DPO, este especialista será responsável pela execução das atividades para assegurar o compliance de todos os agentes de tratamento de dados da organização.

2.A materialização da governança em privacidade na organização

O compliance deve atender aos preceitos legais relacionados a privacidade e proteção de dados e refletir o nível da governança empregado pela organização. O DPO, no exercício de suas atribuições, conforme abordado no tópico anterior, será o protagonista, tanto na estruturação do programa de governança em privacidade quanto na supervisão, das políticas e procedimentos que sejam capazes de traduzir as ações sistemáticas adotadas pela organização para demonstrar a conformidade regulatória no ambiente corporativo.

O programa de governança destinado a assegurar a privacidade e proteção de dados, liderado pelo DPO, objetiva demonstrar accountability, por meio da prestação de contas da organização na aplicação dos princípios 21 fundamentais da proteção de dados previstos tanto no GDPR quanto na LGPD. De acordo com o Centre for Information Policy Leadership 22 (“CIPL”), comprovação da accountability depende da presença de sete elementos essenciais, quais sejam: liderança e supervisão, avaliação de risco, políticas e procedimentos, transparência, treinamentos, monitoramento e verificação, e por fim, resposta a incidentes e compliance com as leis de privacidade e proteção de dados. Portanto, considerando as premissas principiológicas da LGPD aliada aos conceitos abertos, que ainda depende de regulamentação pela ANPD, é prudente que os pilares para materialização do programa de governança em privacidade estejam fundamentados nos elementos que integram a accountability sob a óptica do modelo europeu.

Por outro lado, ao contrário do GDPR que impôs aos controladores a obrigação de demonstrar o compliance sem especificar quais atividades devem integrar o programa de governança em privacidade, a legislação brasileira destinou uma seção própria para discorrer sobre as boas práticas e a governança em privacidade, que pode ser feita pela própria organização. Com base na LGPD implementação 23 deve pressupor, no mínimo (i) a demonstração do comprometimento da organização através da adoção de processos e políticas internas aptos a assegurar as boas práticas na preservação da proteção de dados, (ii) sua aplicabilidade sobre todos os dados tratados pela organização, o que independe da forma como foram coletados, (iii) seja compatível com a escala, estrutura e volume das operações realizadas e coerente com a sensibilidade dos dados tratados, (iv) estabeleça políticas e proteções adequadas de acordo com avaliação sistemática de impactos e riscos à privacidade, (v) estabeleça e reforce a relação de confiança com os titulares dos dados por meio da transparência e viabilize o exercício dos direitos destes, (vi) esteja devidamente integrado com a estrutura geral de governança da organização e aplique mecanismos de supervisão internos e externos, (vii) contemple planos de resposta a incidentes e correções, e (viii) seja periodicamente atualizado de acordo com os resultados extraídos do acompanhamento e avaliações contínuos.

A partir dos requisitos mínimos elencados pela LGPD para implementação do programa de governança em privacidade, torna-se evidente a capacidade da gestão de riscos pela organização. Isso porque a identificação da existência de fragilidades permite que organização adote medidas de prevenção e contenção das vulnerabilidades, o que impede a exposição desnecessária da organização ao descumprimento de preceitos legais. Outro benefício decorrente da manutenção do compliance regulatório consiste na rapidez e agilidade com as quais eventuais desconformidades são identificadas e remediadas pela organização, o que implica em na redução significativa de impactos adversos.

Além disso, o programa de governança em privacidade pode interferir na condição de circunstância atenuante na dosimetria das sanções 24 administrativas aplicadas pela ANPD em razão da boa-fé da organização em (i) aplicar os princípios e fundamentos da privacidade e proteção de dados para assegurar tratamento seguro e adequado de dados, (ii) adotar mecanismos e procedimentos corporativos capazes de minimizar o dano por meio da adoção de medidas corretivas eficientes, e (iii) a adoção de política de boas práticas e governança.

Entretanto, a organização deve comprovar o nível de maturidade do programa de governança em privacidade para que possa usufruir das vantagens conferidas pela LGPD como mencionado anteriormente. A existência meramente formal do programa de governança em privacidade desacompanhada de seus respectivos mecanismos de controles internos e não atenderá aos requisitos mínimos determinados pela LGPD, e portanto, serão desconsideradas para o computo da dosimetria das penalidades.

Portanto, a existência de um programa efetivo de governança em privacidade que estimule e fomente a disseminação da cultura corporativa de privacidade e proteção de dados, de forma transversal, que contemple todos os atores do ecossistema, dentro da organização é fundamental. Para isso, é necessário que o programa reúna, de forma simultânea, todos os elementos da accountability e apresente todos os requisitos mínimos elencados pela LGPD. Por isso, é comum que a estruturação do programa de governança em privacidade exteriorize a existência de, pelo menos, quatro eixos: comprometimento e apoio da alta administração da organização; avaliação do risco envolvidos nas operações de tratamento de dados pessoais; treinamentos e capacitação, e monitoramento e verificação.

O apoio e engajamento da alta gestão da organização na jornada rumo a concretização do programa de governança em privacidade poderá se iniciar com a designação do DPO, que será um aliado essencial tanto na construção do programa quanto na propagação da cultura de privacidade e proteção de dados dentro e fora da organização.

Além disso, os administradores e conselheiros da organização devem tornar público que privacidade e proteção de dados é um valor inerente à organização de modo que todos os agentes responsáveis pelo tratamento de dados devem respeitar a legislação, o que inclui tanto a LGPD quanto o GDPR. Da mesma forma, os terceiros com os quais a organização se relaciona devem refletir e adotar os mesmos valores espelhados pela organização. O apoio pela alta administração da organização também pressupõe fornecer ao DPO os recursos necessários para implementação da estrutura adequada destinada a elaborar e manter o programa de governança em privacidade, o que consiste na disponibilização de recursos humanos e financeiros compatíveis com o volume e complexidade das operações de tratamento realizadas, direta ou indiretamente, pela organização. Por outro lado, compete ao DPO manter a alta administração permanentemente informada sobre as operações de tratamento realizadas, permitindo a participação efetiva da liderança na supervisão do programa através da tomada de decisões, inclusive sobre os riscos identificados.

Instaurada a cultura corporativa de privacidade e proteção de dados, compete ao DPO contribuir para revisão do Código de Ética...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548778/data-protection-officer-encarregado-teoria-e-pratica-de-acordo-com-a-lgpd-e-o-gdpr-gestao-de-terceiros-data-protection-officer-encarregado-ed-2020