[ editar artigo]

DPO interno x DPO as a service: as diferenças e vantagens da adoção de cada um desses modelos de contratação

 

  1. Introdução

 

Com a entrada e vigor da Lei Geral de Proteção de Dados (Lei nº 13.709, LGPD), certos temas relacionados à lei que já eram debatidos ganham ainda mais importância, devido à necessidade de adequação prática a normas que eram, até então, estranhas ao ordenamento jurídico brasileiro. Os questionamentos saem, cada vez mais, da esfera teórica, para adentrar no campo das questões práticas. Nesse ponto, a figura do “Encarregado” merece destaque.

O “Encarregado”, equivalente ao “Data Protection Officer” (DPO) trazido pela General Data Protection Regulation (GDPR), é introduzido à legislação brasileira através da LGPD, onde se apresenta como personagem central no ecossistema da proteção dos dados. A figura do DPO, contudo, representa muito mais do que uma mera invenção legislativa; trata-se, na verdade, de um marco inicial para o surgimento de uma nova profissão, um novo departamento e, até mesmo, um novo segmento de mercado,

A LGPD descreve o Encarregado como:

 

Art. 5º Para os fins desta Lei, considera-se: (...)

 

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (g.n.)      

(Redação dada pela Lei nº 13.853, de 2019)

 

Assim, constitui dever do Controlador (LGPD, art. 41) a indicação de um Encarregado pelo tratamento de dados pessoais, profissional que atuará dentro de instituições públicas e privadas que realizem tratamento de dados pessoais. As atividades do Encarregado também estão discriminadas na lei (art. 41, §2º), sendo elas:        

§ 2º (...)

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Depreende-se que a função do Encarregado gira em torno da adoção e manutenção, pela entidade Controladora, de um profissional especializado em efetivar a adequação da entidade às normas e boas práticas de proteção de dados. Ou seja, não se trata apenas de um canal de comunicação entre a ANPD e o Controlador, e entre este e os Titulares, mas principalmente de um auditor interno, responsável por organizar o treinamento dos demais funcionários, além de outros serviços possivelmente designados pelo Controlador.

O Encarregado serve, assim, como uma espécie de “auditor externo” auxiliando no dia a dia das atividades que envolvam privacidade e proteção de dados pessoais, motivo pelo qual ele também acabará sendo o responsável pela redação do Relatório de Impacto à Proteção de Dados Pessoais[1] e será a linha de frente na implementação de Privacy By Design para criação de produtos e serviços da empresa[2].

2. Encarregado: Pessoa Física ou Pessoa Jurídica?

Muitos detalhes não regulados pela LGPD deverão ser regulamentados futuramente pela ANPD, incluindo questões relacionadas ao Encarregado. Todavia, o que temos no momento, é a possibilidade do Encarregado ser pessoa física ou jurídica.

Nos primeiros projetos da Lei Geral de Proteção de Dados, antes da MP nº 869/188 (que foi convertida na Lei nº 13.853/19, alterando a LGPD), apenas pessoas físicas poderiam ter a função de Encarregado. Todavia, o texto final da Lei 13.709 não mais prevê essa exigência, de modo que nossa LGPD permite a contratação de Encarregado Pessoa Jurídica.

A GDPR também permite a contratação de DPOs terceirizados, fazendo-o de forma expressa, no seu artigo 37(6):

Art. 37 GDPR

Indicação do data protection officer

          (...)

6. O data protection officer pode ser um membro da equipe do controlador ou cumprir os requisitos de um contrato de serviço[3]

(tradução livre)

Desse modo, um questionamento razoável pode surgir para os diversos controladores, sobretudo empresas: vale mais a pena contratar um Encarregado externo (terceirizado) ou incumbir essa responsabilidade a um funcionário (interno)?

Antes de adentrar no questionamento, é importante examinar as condições exigidas ou sugeridas para possibilitar ao Encarregado o exercício das suas funções com êxito.

 

3. Atributos Necessários à Função de Encarregado

Sabemos que a LGPD cria a figura do Encarregado, ficando à cargo tanto do controlador (público ou privado) quanto do operador (em determinadas situações a serem especificadas pela ANPD) a indicação desse Encarregado.

Levando em consideração ser o DPO uma espécie de auditor dos dados pessoais, que cuidará do treinamento interno do pessoal, da comunicação com a ANPD, da comunicação com os Titulares (ex. colaboradores e clientes) e da supervisão geral das atividades da empresa que envolvam o tratamento de dados pessoais, podemos traçar algumas orientações gerais a respeito do funcionamento dessas atividades:

(a) Conhecimento: é importante que o Encarregado tenha conhecimentos apurados sobre as normas de proteção de dados e formas adequadas de compliance e boas práticas. Mais do que isso, é necessário também que o Encarregado entenda minimamente o modelo de negócio da empresa Controladora, a fim de harmonizar suas ações com os processos internos da empresa com mais facilidade;

 

(b) Autonomia: é importante que o Encarregado possua garantia de autonomia técnica e profissional para o exercício das atividades. Tal autonomia é importante porque, primeiramente, o Encarregado deverá funcionar como supervisor das atividades da empresa, necessitando da liberdade de discordar com práticas inadequadas do Controlador, possibilitando a descoberta de soluções em conformidade com a lei e buscando a mitigação dos riscos. Além disso, o Encarregado fará a comunicação necessária com a ANPD, sendo a pessoa mais adequada para redigir relatórios detalhando as atividades de tratamento, não podendo assim sofrer qualquer risco de censura ou conflito de interesses;

Muito embora a LGPD não traga de forma expressa a necessidade de autonomia funcional para o Encarregado, espera-se que a ANPD, quando plenamente constituída, venha a ditar regras mais específicas nesse sentido. Por hora, podemos nos basear na GDPR, que trouxe expressa a necessidade da autonomia do DPO no Recital 97[4], que trata da figura do DPO:

Recital 97

(....) Esses data protection officers, sejam ou não empregados do controlador, devem poder cumprir com seus afazeres com independência.[5]

(tradução livre)

Desse modo, percebe-se mais claramente a necessidade de se garantir autonomia funcional e técnica ao DPO, possibilitando uma adequação mais contundente às regras e boas práticas de proteção de dados. Deve-se portanto evitar o conflito de interesses, que pode abrir brechas para uma política de proteção de dados temerária dentro da empresa, abrindo as portas para sanções advindas da Autoridade Nacional.

(c) Comunicação e acesso: é importante que a figura do Encarregado esteja envolta de transparência e fácil acesso em benefício dos Titulares. A situação mais comum será a de clientes que entram em contato com a empresa para terem acesso aos seus dados, revogar consentimento, corrigir algum dado, dentre várias hipóteses de exercício de direito previstas na LGPD nos seus artigos 17 e 18. Caberá, certamente, ao Encarregado a prestação de contas a esses Titulares, realizando seus pedidos de forma imediata ou, se não for possível, justificando adequadamente a demora[6], conforme dita a LGPD.

Além disso, alguns princípios norteadores da LGPD ganham destaque nesse ponto: o princípio do livre acesso e o princípio da transparência. Ou seja, a consulta dos Titulares aos seus dados deve ser facilitada, gratuita e devem ser prestadas informações claras, precisas e facilmente acessíveis sobre a realização de tratamento de dados. Desse modo, a empresa deverá disponibilizar algum meio de comunicação de fácil acesso (ex. DPO@Yenterprise.com; EncarregadoDados@EmpresaX.com.br)[7], possibilitando aos Titulares entrar em contato com o DPO/Encarregado.

Desse modo, podemos resumir que a figura do Encarregado necessidade de (1) autonomia funcional, (2) conhecimento amplo de proteção de dados e preferencialmente algum conhecimento sobre o modelo de negócio, (3) boa comunicação interna e externa, com funcionamento de canal de comunicação com Titulares com transparência e facilidade de acesso.

 

4. Indicando um Encarregado: serviço terceirizado especializado ou treinamento de um interno?

Entendidas as incumbências do Encarregado e os requisitos estabelecidos por lei para o exercício dessa profissão, cabe, neste momento, retornar ao questionamento que esta publicação se propôs endereçar: Quando a empresa deve investir em um DPO interno e quando deve terceirizar esta função?

A fim de responder essa questão, faz-se necessário entender as diferenças inerentes a cada uma dessas modalidades de contratação. Essencialmente, a principal diferença entre essas duas formas de prestação de serviço é:

DPO interno

Trata-se de profissional da própria empresa, realocado de suas funções para assumir o papel de Encarregado, representando, de agora em diante, a empresa perante às Autoridades competentes e os titulares;

DPO “as a service”

Nesta hipótese, quem presta o serviço é outro CNPJ, por meio da oferta de mão de obra terceirizada e especializada para a prestação de serviços na área de Privacidade e Proteção de Dados.

Por serem de natureza distintas, as vantagens referentes à contratação de cada uma dessas modalidades variam, por exemplo, o DPO as a service apresenta-se como uma modalidade de contratação mais vantajosa financeiramente, pois a empresa não precisa despender orçamento para:

(i) montar equipe (Comitê de Proteção de Dados);

(ii) preparar funcionário para assumir a função de Encarregado, comprometendo-se, portanto, em arcar custos relacionados à formação (cursos, workshops, etc) e certificações (EXIN, IAPP, etc); e, por fim,

(iii) o próprio custo relacionado ao preenchimento da vaga do profissional que foi realocado para a função de DPO.

Em contrapartida, a indicação de funcionário da estrutura interna da empresa para assumir a função de Encarregado é igualmente interessante, quando pensada do ponto de vista institucional. Isto porque o tema vem ganhando perante o meio corporativo, ou seja, mais do que atender aos padrões de conformidade exigidos pela LGPD, a cultura da privacidade e proteção de dados é definitivamente algo que veio para agregar valor aos produtos e serviços comercializados no mercado.

Outro ponto extremamente vantajoso da contratação de um DPO terceirizado diz respeito à expertise dos profissionais envolvidos na prestação do serviço. Enquanto que o DPO interno se trata de funcionário realocado para uma nova função, que até então não era de sua incumbência, a terceirização do serviço possibilita a prestação qualificada do serviço por parte de empresas especialistas no tema.

De toda sorte, esta é uma decisão cuja resposta variará de empresa para empresa; fatores como seu porte, volume de dados que trata e natureza da atividade são algumas das variáveis que impactará na escolha da modalidade de DPO.

Há ainda que se falar da contratação na modalidade “Operação Assistida”, que seria o equivalente ao meio termo entre as duas modalidades supracitadas. Nela, a empresa aponta um funcionário de seu staff para ocupar a posição de DPO, contudo, para subsidiar a sua atuação, realiza a contratação de Consultoria na área de Privacidade e Proteção de dados, a quem o DPO pode recorrer sempre que necessário.

 

Este post foi escrito por:

Caio Matias Lia Fook. Fascinado por novas tecnologias e estudioso das novas facetas do direito, como o Direito Digital e a Privacidade de Dados, Caio é acadêmico de Direito pela Universidade Federal de Pernambuco e Estagiário jurídico da Patronum Data Protection, possuindo também conhecimentos práticos na área da Propriedade Intelectual e programação aplicações web.

 

Tairla Maria Aragão Pimentel. Bacharel em Direito pela Universidade Federal da Paraíba e advogada inscrita na OAB/SP. Atualmente trabalha como Consultora na área de Privacidade e Proteção de dados da Patronum Data Protection, start-up de privacy que ajudou a fundar.

 

 


[1] O RIPDP está previsto na LGPD dentro dos seguintes termos: “Art. 5º Para os fins desta Lei, considera-se: (...) XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.  A lei prevê a necessidade desse relatório em diversas circunstâncias, como no caso de utilização da base legal do legítimo interesse, ou em outras situações em que a ANPD determine sua elaboração (arts. 32 e 38).

 

[2] Privacy By Design é um termo que surgiu na década de 90, no Canadá, a partir de estudos defendendo a aplicação das normas de privacidade nas etapas mais iniciais da elaboração de qualquer produto ou serviço. Na LGPD, temos o PbD como uma das obrigaçẽos dos agentes de tratamento, com base nos princípios da Prevenção (art. 6º VII) e da Responsabilização e Prestação de Contas (art. 6º, X), além do Art. 46, que especifica no §2º: “Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (...) § 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução”.

 

[3] Original: “The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract”. Disponível em: https://gdpr-info.eu/art-37-gdpr/

[4] “Recitals” são documentos oficiais que visam explicar e/ou complementar alguma lei. Amplamente utilizados na interpretação das disposições da General Data Protection Regulation.

[5] Original: “Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner”. Disponível em: https://gdpr-info.eu/recitals/no-97/

[6] A LGPD, em seus artigos 18 e 19, traz como regra geral a necessidade de atendimento imediato aos pedidos dos titulares (ou justificando a demora, caso não seja possível). Há outros casos em que se adota o prazo de 15 dias (art. 19, II).

[7] Exemplos fictícios.

Comunidade Legal Hub
Tairla Aragão
Tairla Aragão Seguir

Ler conteúdo completo
Indicados para você