Data Protection Officer (Encarregado) - Ed. 2020

Dpo e Startups

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Gisele Karassawa 1

Marcella Costa 2

1. Introdução

Como já explorado em outros artigos desta coletânea, a figura do DPO – Data Protection Officer ou Encarregado, nos termos da Lei nº 13.709/2018 (“LGPD”), é a “pessoa indicada pelo controlador e operador para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (“ANPD”)” 3 .

A jornada de adequação de uma empresa aos termos e condições da LGPD exige um esforço que vai além do mapeamento do ciclo de vida dos dados pessoais internamente, do apontamento de gaps identificados e da implementação de algumas ações, que pode incluir a revisão de documentos, processos e procedimentos internos.

É preciso criar um programa de governança para que a atenção e o cuidado com o tema sejam perenes na empresa e os processos desenvolvidos ou ajustados durante a jornada de adequação sejam continuamente executados e aperfeiçoados. E o DPO deve ser a pessoa “encarregada” desse papel, não se limitando à função de mero elo de comunicação entre empresa, ANPD e titulares dos dados, especialmente dependendo do porte da empresa, tipo de atividade desenvolvida, complexidade e volume de operações de tratamento de dados pessoais.

A partir do artigo 41 da LGPD, podemos extrair as seguintes atividades que devem ser observadas pelo Encarregado e outras disposições relacionadas a essa figura:

– O Controlador deve nomear um DPO;

– Obrigatoriedade de publicar a identidade e informações de contato do Encarregado, de forma clara e objetiva, preferencialmente no site da instituição;

– O DPO deve receber as reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar as providências necessárias;

– O DPO deve receber as comunicações da Autoridade Nacional e adotar as medidas cabíveis;

– O DPO deve orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

– O DPO deve executar as demais atribuições determinadas pelo Controlador, bem como aquelas estabelecidas na LGPD e em normas complementares; e

– A ANPD poderá regulamentar sobre a definição e as atribuições do Encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação.

É razoável afirmar que a LGPD abordou o tópico do Encarregado e descreveu suas responsabilidades de maneira bem mais simplista do que a regulamentação europeia. Contudo, encontramos algumas obrigações dispersas pela LGPD que dificilmente as empresas conseguirão atender se não atribuírem um responsável pela gestão das providências necessárias, sendo o cargo do DPO o mais natural e recomendável para absorver tais atribuições.

Por exemplo, para atender ao princípio da responsabilização e prestação de contas (accountability) previsto no inciso X do artigo 6º da LGPD, as empresas terão que gerar evidências das medidas adotadas em busca da adequação e do cumprimento das regras previstas na referida lei. A título de ilustração, para isso, será preciso manter o registro dos treinamentos realizados ao público interno; manter o registro das mudanças realizadas nos seus respectivos processos, bem como sua implementação na rotina da empresa e sua observação por todas as áreas; gerar indicadores; manter as atas de reuniões realizadas ordinariamente pelo Comitê de Proteção de Dados ou pontualmente para avaliar os impactos da proteção de dados pessoais no desenvolvimento de novos projetos (o que chamamos de Privacy by Design); elaborar eventuais relatórios de impacto à proteção de dados. Note-se o desafio da observação desse princípio sem a atuação de um DPO.

Isso vai ao encontro do que temos visto na prática, a importância desse cargo para o sucesso da implementação e manutenção de um programa de governança em proteção de dados.

De qualquer forma, apesar da regulamentação menos abrangente dada pela LGPD ao definir as responsabilidades do DPO, ela outorgou poderes à ANPD para a criação e fixação de condições e atribuições adicionais ao Encarregado, conforme consta na redação do parágrafo 3º do art. 41:

“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

(...)

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação , conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados .” (grifo nosso)

Voltando ao tema deste estudo, ao fazer um corte dessa discussão para o universo das startups, deparamo-nos com alguns questionamentos que a ANPD terá que ajudar a esclarecer.

– Todas as empresas terão que nomear um DPO, independentemente do seu porte?

– Atualmente, o texto da LGPD nos remete à leitura de que sua aplicação abrange todos os tipos e tamanhos de empresas, mas será que startups e empresas de pequeno porte terão fôlego e estrutura para nomear um profissional para ocupar essa função?

– Pensando no desafio que a ANPD enfrentará na regulação dessa possível dispensa, será que existem critérios objetivos para qualificar a quais empresas a regra seria aplicável?

Não obstante as incertezas que cercam o assunto, ao longo deste artigo exploraremos a interpretação do parágrafo 3º do artigo 41 da LGPD mencionado anteriormente, em conjunto com a disposição do inciso XVIII do artigo 55-J 4 da referida lei, pois acreditamos que contribuem para criar a expectativa de que não somente o papel do DPO seja melhor detalhado pela ANPD como também a possível regulamentação de critérios para enquadramento e hipóteses de dispensa da indicação.

Pretendemos, assim, analisar e refletir sobre as características e regras já estabelecidas pela LGPD com um recorte direcionado exclusivamente para startups. Além disso, apresentar, sob a ótica regulatória e prática, um paralelo quanto ao tratamento e atuais discussões sobre o DPO no universo das startups na Europa – em razão da proximidade principiológica entre o GDPR e a LGPD e nos Estados Unidos da América – por abrigar um dos berços das startups, o Vale do Silício.

Enfim, o intuito deste estudo é buscar referências e entender como o tema vem sendo tratado em outros mercados relevantes, do ponto de vista econômico, comercial e também de maturidade em relação à proteção à privacidade e proteção de dados.

2. Cenário europeu: O DPO de startups no contexto do GDPR

2.1. Da cultura de proteção de dados europeia antes do General Data Protection Regulation – GDPR

Na Europa, diferentemente do Brasil, já havia uma forte cultura de proteção de dados pessoais antes do advento do General Data Protection Regulation – GDPR.

Isso porque o mencionado Regulamento, de certa forma, foi uma evolução da Diretiva 95/46/EC, um diploma jurídico estabelecido na década de 90 que, embora estivesse desatualizado, visto que foi concebido em uma época em que a internet ainda era incipiente, já compilava diretrizes e princípios de proteção de dados pessoais e privacidade.

Assim, muitos dos países membros da União Europeia já possuíam leis locais específicas sobre proteção de dados e já dispunham de uma estrutura inicial para contemplar o atendimento aos parâmetros legais fixados em seus respectivos ordenamentos jurídicos.

Um exemplo disso foi a Lei 67/98, que transpôs ao ordenamento jurídico português a Diretiva 95/46/EC, estabelecendo um racional quanto à proteção dos dados pessoais e criando a Comissão Nacional de Proteção de Dados (CNPD), hoje atuante autoridade de proteção de dados pessoais portuguesa sob a égide do GDPR.

Todavia, em alguns países europeus, o grau de conscientização da importância da proteção de dados pessoais atingiu maturidade antes mesmo da mencionada Diretiva, como se nota pela criação da CNIL – Commission Nationale de l'Informatique et des Libertés da França (criada em 1978) e da ICO Information Commissioner´s Office do Reino Unido (criada em 1984).

A CNIL foi criada pela Lei de Computação e Liberdades de 6 de janeiro de 1978, que inicialmente tinha maior enfoque para o tratamento de dados pessoais no contexto de processamento de dados por meio da informática.

Referida Comissão nasceu como uma autoridade administrativa independente, com o claro propósito de atuar na defesa e proteção dos dados pessoais, recebendo denúncias, aplicando sanções em caso de descumprimento legal e servindo como catalisador para a disseminação da cultura de proteção à privacidade.

Posteriormente, a Lei de Computação e Liberdades foi alterada pela Lei de 06 de agosto de 2004, para recepcionar a Diretiva 95/46/EC e harmonizar alguns procedimentos para atuação da CNIL ao novo racional europeu de proteção de dados.

Portanto, com o advento do GDPR, a autoridade francesa já estava consolidada por algumas décadas, assim como a própria cultura local já havia incorporado a mentalidade de proteção de dados.

Outra autoridade europeia que é referência por conta de sua estrutura e forte atuação é a ICO do Reino Unido. Ela foi criada em 1984, no contexto do Data Protection Act de 1984 e, assim como a CNIL, desde o início já trazia em seu DNA as principais competências que possui até os dias de hoje, como promover a compreensão da legislação de proteção de dados e receber reclamações.

De acordo com informações da própria instituição 5 , em 1985 possuía um time de 10 colaboradores e atenderam a 10.000 consultas telefônicas e postais. Já nos anos de 2017/2018, contava com uma equipe de mais de 500 pessoas e contabilizou mais de 200.000 consultas por telefone e mais de 16.000 reclamações de violação de dados pessoais.

Aliás, quanto a este último quesito sobre as reclamações, apenas para ilustrar a atuação já bastante consolidada da ICO, vale destacar que o processo administrativo que culminou na aplicação da multa de £500.000 ao Facebook em 2018 (ainda sob as regras do Data Protection Act de 1998), teria se iniciado por meio de investigações no ano de 2007 6 , ou seja, 11 anos antes da vigência do GDPR.

A partir desse contexto, é...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548799/dpo-e-startups-data-protection-officer-encarregado-ed-2020