Data Protection Officer (Encarregado) - Ed. 2020

Ferramentas de Tecnologia para Apoio ao Programa de Privacidade e o Dpo

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Rodrigo Cunha 1

Lucas Gobbo 2

Rodrigo Cantarino 3

Introdução

A constante evolução da tecnologia certamente traz grandes desafios aos profissionais que lidam com o direito de privacidade. Contudo, neste artigo abordamos o outro lado dessa dinâmica, ou seja, a inovação como uma aliada do Data Protection Officer (“DPO”) e demais profissionais que atuam na área. De fato, não há como se pensar na gestão de um programa de compliance de dados em uma empresa sem o emprego de tecnologia – em maior ou menor grau, dependendo do seu tamanho e área de atuação – para visualizar e mitigar riscos de forma eficaz.

Em outras áreas relacionadas a um programa de compliance, como a que combate fraude e corrupção, já temos bons exemplos disso. A AB InBev 4 , controladora da Ambev 5 e maior cervejaria do mundo, tem um programa de compliance que foi objeto de estudo 6 pelo professor SOLTES, da Harvard Business School. Um dos pontos fortes desse programa é o investimento em tecnologia e um dos maiores exemplos disso é o BrewRIGHT 7 , um sistema que utiliza algoritmos para atribuir risco individualizado a milhões de transações financeiras da empresa. A atribuição de uma nota de risco otimiza o trabalho do time de compliance na medida em que possibilita a revisão ou investigação de casos que são efetivamente mais arriscados. Além disso, com o emprego de machine learning, cada transação revista e investigada vira um ponto de melhoria do algoritmo. A equipe, claro, avalia constantemente a performance do sistema, além da conformidade com leis e regulamentos aplicáveis, incluindo aqueles relacionados à proteção de dados pessoais.

Um programa de compliance em proteção de dados não é diferente. É preciso otimizar processos e utilizar recursos de automação para se gerenciar e mitigar riscos de acordo com sua criticidade.

Neste artigo, demonstraremos como as soluções tecnológicas podem facilitar o trabalho do DPO ao gerenciar riscos e medir com eficácia o impacto de suas ações no dia a dia da empresa.

No caso específico da AB InBev, que atua diretamente em mais de 50 países e possui mais de 170.000 colaboradores, a tarefa de definir políticas e controles globais que sejam eficazes em medir compliance é ainda mais desafiadora, já que não se pode pautar o trabalho por uma única jurisdição. Portanto, decidimos nos limitar a discutir maiores detalhes do General Data Protection Regulation (“GDPR”) e da Lei Geral de Proteção de Dados Pessoais (“LGPD”) para facilitar a análise, não olvidando que, na prática, a análise perpassa por questões de outras jurisdições e, portanto, outras leis de proteção de dados aplicáveis.

Assim, o artigo seguirá a seguinte estrutura:

Primeiramente, analisaremos de forma geral o que significa executar um programa de compliance em proteção de dados pessoais, procurando evidenciar nosso entendimento sobre a LGPD e sobre o GDPR a respeito de um programa de compliance. Aqui, pretendemos lançar base sobre o que entendemos ser o papel da tecnologia nesse aspecto, utilizando aquilo que chamamos de Framework de compliance com regulações de dados pessoais – ferramenta que será definida no momento adequado. Nesse ponto, aproveitaremos o ensejo para, brevemente, expor o que compreendemos como diferenças fundamentais entre as funções do DPO, elencados pelo GDPR, e do Encarregado de Tratamento de Dados Pessoais (“Encarregado”), por parte da LGPD.

Este ponto servirá como introdução ao tema principal do capítulo, qual seja, o uso da tecnologia nas funções que devem ser executadas pelo DPO.

Posteriormente, detalharemos alguns tópicos desse Framework, notadamente, (i) a definição de uma governança apoiada em uma matriz de risco e sua incorporação em um Privacy Impact Assessment (“PIA”), (ii) políticas e treinamentos e (iii) resposta aos direitos dos titulares de dados. Obviamente, focaremos em demonstrar como a tecnologia pode ajudar a controlar esses itens.

Alerta-se, contudo, que essa separação de tópicos dentro de um Framework não constitui, em nossa visão, um requerimento legal expresso, seja da LGPD, seja do GDPR. O uso dessa separação, além de facilitar a didática do presente artigo, auxilia a empresa a controlar de uma maneira mais efetiva a forma como se implementa o programa de compliance internamente que, na prática, começa a se desenhar desde o primeiro momento em que se tem um plano de ação. Apenas escolhemos dividir a tarefa em atos, ou itens do Framework. Espera-se, a partir dessa metodologia, que o leitor compreenda, ao final do capítulo, o papel fundamental da tecnologia no processo como um todo.

Apenas para fins de uniformização do texto, faremos referência ao profissional que gerencia o programa de compliance com as leis de proteção de dados sempre como DPO. Ainda que haja uma diferença em comparação com o Encarregado – o que ficará claro mais adiante – entendemos que a função precípua de ambos é a mesma, qual seja: ser o responsável pela implementação e gestão do programa de proteção de dados dentro da organização. Assim, mencionaremos expressamente o Encarregado tão somente quando sua função for notoriamente diferente à do DPO e, em contrapartida, omitiremos o nome da função quando o dever a qual nos referirmos lhes for similar ou idêntico.

1. O programa de compliance em proteção de dados

Atuar no departamento de compliance em uma empresa – seja em qualquer especialidade – é uma grande responsabilidade. Cabe a esse setor garantir que a empresa esteja em conformidade com a legislação aplicável, o que significa estruturá-la e capacitá-la para tanto, guiando as pessoas a atuar de maneira correta e ética ao fazerem negócios e, por conseguinte, protegendo a reputação da empresa. A lógica de um programa de compliance, na maioria dos casos, segue uma sequência similar: em um primeiro momento, mede-se o risco. Logo após, políticas e controles – como o Framework – são estabelecidos de forma que se possa mensurar sua efetividade. Finalmente, após a mensuração, é possível medir novamente o risco e, com isso, melhorar políticas e controles.

O DPO, seja interno, seja externo, empresa ou indivíduo, atua dentro da mesma uma lógica. Assim, cabe a este identificar os riscos, definir controles de conformidade com as leis e regulamentos de proteção de dados aplicáveis, bem como medir e garantir seu cumprimento em todos os níveis da empresa.

Assim, a fim de manter um controle, o ideal é que o DPO, por exercer uma função de compliance, tenha um manual com definição e planejamento de todas as ações que devem ser checadas periodicamente dentro da empresa – o que chamamos de “Digital Ethics Framework” ou, simplesmente, “Framework”, que deve ser entendido como um conjunto de controles que visa transformar princípios básicos das leis de proteção de dados em itens que possam ser compreendidos e medidos dentro da organização.

Para que não restem dúvidas ao leitor, chamamos de Framework aquilo que a doutrina especializada costuma denominar programa de compliance. Em uma definição acertada e em paralelo com o que descrevemos neste capítulo, elucidam FRAZÃO, OLIVA e ABÍLIO:

Trata-se de estruturação de políticas e procedimentos corporativos que se traduzam em ações sistemáticas com o objetivo de atender a preceitos normativos, a permitir a prevenção do ato ilícito ou, caso não seja possível, minorar seus efeitos e sancionar eventuais responsáveis 8

Acrescentamos ainda que um programa de compliance (o Framework) bem estruturado poderá ir além de um conjunto de ações sistemáticas, ou seja, o DPO deverá definir ações necessárias a complementá-lo, quando necessário. Por exemplo, comunicação e treinamento já são parte integrante do Framework, mas, quando se adquire uma outra empresa, pode ser necessário ir além do simples treinamento. É preciso definir um plano mais robusto de due diligence e risk assessment para aquela nova entidade do grupo, o que pode ser combinado com esforços de treinamento e comunicação, mas certamente vai além. Essa flexibilidade na gestão da ferramenta é crucial para que se defina o escopo de atuação, bem como as prioridades de cada time que utilizará o Framework nas diferentes operações ao redor do mundo.

Nesse processo, o uso da tecnologia nos parece fundamental. Afinal, demonstrar resultados em uma empresa global, seja para fins internos, seja em eventuais requerimentos de autoridades, exige poder tecnológico para guardar evidências de...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548794/ferramentas-de-tecnologia-para-apoio-ao-programa-de-privacidade-e-o-dpo-data-protection-officer-encarregado-ed-2020