Data Protection Officer (Encarregado) - Ed. 2020

Sistemas de Compliance, Programas de Privacidade e o Dpo Como o Compliance Officer de Privacidade

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Henrique Fabretti Moraes 1

As organizações sempre estão sujeitas a diversos riscos que podem impedir a criação de valor ou mesmo destruir o valor existente, parte deles próprios à atividade empresarial (operacional, financeiro, estratégico etc.), outros de natureza externa (como os políticos e as catástrofes naturais) e os regulatórios, advindos de uma obrigação normativa.

Riscos regulatórios, quando materializados, podem resultar em impactos operacionais, financeiros ou de reputação e conseguir minimizá-los ou eliminá-los de forma eficiente é um desafio constante, porém, necessário para garantir a sustentabilidade das organizações. Não são raros os exemplos de organizações que sofrem perda de valor e confiança substanciais por falhas no controle de riscos regulatórios.

Com um intenso movimento global de maturação das regulações relacionadas ao uso de dados pessoais, notadamente capitaneado pela aprovação e entrada em vigor da General Data Protection Regulation (GDPR) na União Europeia 2 e do cada vez mais intenso uso de dados pessoais, os riscos regulatórios relacionados ao tratamento de dados pessoais passaram a ganhar maior relevância conforme o impacto da não observância destas regras que aumentaram significativamente, indo desde a paralisação 3 de um determinado produto ou serviço e a perda de confiança de consumidores 4 até a aplicação de multas milionárias 5 .

Neste contexto, o papel da governança corporativa é de grande valia, posto que seu principal objetivo é garantir que as atividades das organizações estejam alinhadas com os interesses de seus acionistas e com a perpetuação de seus valores econômicos de longo prazo 6 , o que passa pela mitigação de riscos regulatórios pela atuação de seus agentes de governança, tais como sócios, diretores, auditores, conselho fiscal etc.

Já os programas de compliance, como instrumento de governança corporativa, talvez sejam a melhor forma de as organizações se adequarem a estas regulações, sejam elas relacionadas à anticorrupção, prevenção à lavagem de dinheiro, antitruste ou, no caso em tela, proteção de dados pessoais e privacidade.

Vale lembrar que, conceitualmente, programas de compliance são um conjunto de medidas adotadas e asseguradas pelos agentes de governança para que as organizações estejam em conformidade com seus princípios e valores, mas também com as leis e regulações aos quais estão submetidas. Normalmente, estes programas são balizados por alguns pilares comuns 7 8 , quais sejam:

1. Engajamento da liderança (Tone at the Top) dando o exemplo de conformidade para toda a organização;

2. Estabelecimento de políticas e procedimentos que devem ser observados por colaboradores e terceiros e balizamento como decisões devem ser tomadas para garantir a conformidade da organização;

3. Ações de treinamento e comunicação, especialmente para reforçar as regras delineadas nas políticas e procedimentos e criar uma cultura de compliance;

4. Monitoramento e avaliação de efetividade do programa;

5. Canais de denúncia, como meio para reporte e detecção de não conformidade, com a consequente investigação e aplicação de medidas disciplinares;

6. Avaliação de riscos, garantindo que os esforços e recursos sejam empregados de forma eficaz; e

7. Função de compliance, sendo a área ou o profissional responsável por gerenciar o programa de compliance instituído.

Portanto, quando falamos de conformidade com a Lei Geral de Proteção de Dados, dada sua abrangência, via de regra impactando todas as áreas e funções de uma organização, uma abordagem por meio da construção de um programa de compliance em proteção de dados pessoais talvez se mostre o melhor caminho, posto que garante a perenidade das iniciativas de conformidade, baseia-se em risco e traz instrumentos para melhoria contínua, além da constatação de que este não é um instrumento infalível, mas, sim, que dispõe de mecanismos para que as falhas sejam detectadas e corrigidas o quanto antes.

Indo um pouco além, programas de compliance indispensavelmente carecem de um indivíduo para gerir sua implementação e aplicação no dia a dia das organizações. A Federal Sentencing Guidelines for Organizations (FSGO), que estabelece diretrizes utilizadas pelo governo dos Estados Unidos para o desenho das sentenças a organizações que cometeram crimes federais, dispõe que um programa eficaz de compliance deve contar com “indivíduos específicos dentro da organização que devem receber a responsabilidade do dia a dia operacional pela conformidade com o programa de compliance9 .

Em programas “tradicionais” de compliance, esse profissional normalmente ganha a alcunha de compliance officer, cujo papel crítico dentro destes sistemas de conformidade idealmente exige um reporte duplo, tanto para a liderança executiva da empresa como para o conselho de administração 10 , ou seja, os altos níveis hierárquicos da organização.

As boas práticas também pedem que este compliance officer tenha experiência e habilidades compatíveis com o desafio de cada organização. Quanto mais experiente e habilidoso o profissional e mais recursos este recebe para manter e monitorar o programa de compliance, maior a demonstração, pela organização, de seu comprometimento com o assunto.

No Brasil, a Controladoria-Geral da União também traz recomendação no mesmo sentido, indicando que deve ser implementada uma “instância responsável pelo Programa de Integridade” que seja “dotada de autonomia, independência, imparcialidade, recursos materiais, humanos e financeiros para o pleno funcionamento (do programa), com possibilidade de acesso direto, quando necessário, ao mais alto corpo decisório da empresa” 11 .

Comparando as recomendações e as atribuições esperadas dessa função de compliance, as semelhanças com o Data Protection Officer (DPO) previsto da General Data Protection Regulation (GDPR) são enormes, a começar por sua função de monitorar a conformidade da organização com a própria GDPR e outras regulações de proteção de dados pessoais 12 . É possível fazer comparativos também com a autonomia e independência desejada para o Data Protection Officer e a necessidade de o controlador e o operador fornecerem os recursos necessários para o desempenho de suas atividades 13 .

Outras legislações de proteção de dados ao redor do mundo preveem funções semelhantes, como na canadense PIPEDA (Personal Information Protection and Electronic Documents Act) que, para cumprimento de seu princípio de accountability, exige o apontamento de um indivíduo responsável pela proteção da privacidade 14 e na PDPA (Personal Data Protection Act) de Singapura, que reivindica dos controladores e operadores de dados a indicação de um indivíduo responsável por garantir a conformidade com a PDPA 15 , para ficar em poucos exemplos.

Em suma, considerando a construção de um programa de compliance em privacidade (Programa de Privacidade) como um dos caminhos para se buscar um alto nível de conformidade com as principais normas de proteção de dados pessoais existentes, tem-se também a necessidade de contar com um indivíduo investido da incumbência de responsabilidade pela conformidade da organização.

Considerando que, na seara de privacidade e proteção de dados, tem se tornado comum denominar o indivíduo dotado da função de compliance de Data Protection Officer ou DPO, faremos o mesmo ao longo deste artigo, sem impor ao termo o significado específico dado por algumas normas de privacidade, mais notadamente a GDPR.

As atribuições do Data Protection Officer na busca pela conformidade com as regulações...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548801/sistemas-de-compliance-programas-de-privacidade-e-o-dpo-como-o-compliance-officer-de-privacidade-data-protection-officer-encarregado-ed-2020