Por Ursula Ribeiro de Almeida. Artigo publicado pelo Conjur
Tradicionalmente, as empresas brasileiras organizam as suas atividades entre os departamentos administrativo, financeiro, recursos humanos, comercial e operacional. A depender da natureza da atividade e do setor de atividade, também é recorrente encontrarmos departamentos jurídico e de tecnologia da informação. O emprego cada vez mais frequente de recursos tecnológicos e o risco inerente à sua utilização (vírus, ataque hacker, falha no sistema operacional, entre outros problemas) mostram a relevância de um serviço de tecnologia da informação bem estruturado, que vise a aprimorar a eficiência corporativa e, ao mesmo tempo, a segurança digital.
Embora o enfoque da Lei Geral de Proteção de Dados (LGPD) seja a proteção de dados pessoais, o início da sua vigência em setembro de 2020 destacou a relevância da governança das informações e de dados para a estratégia de negócios. Desde o início da vigência da lei, todo agente de tratamento deve indicar um responsável pela gestão na proteção de dados e para atuar como canal de comunicação entre ele e a Autoridade Nacional de Proteção de Dados (ANPD) e o titular de dados (que pode ser qualquer pessoa natural). O responsável é denominado pela lei brasileira como encarregado de proteção de dados, mas, na prática, é recorrente se utilizar a nomenclatura da legislação europeia, que é o data protection officer (DPO). Lembramos que estão pendentes de regulamentação pela ANPD regras especiais para microempresas e empresas de pequeno porte, que, entre outros pontos, dispensariam a necessidade de indicação de um encarregado, porém ainda seria obrigatória a designação de um responsável pela proteção de dados.
De acordo com a ANPD, em seu guia orientativo para os agentes de tratamento, o encarregado pode integrar os quadros do agente de tratamento ou ser um prestador de serviços terceirizado (que pode ser uma pessoa natural ou jurídica). Em ambos os casos, é importante designar um encarregado que tenha conhecimento suficiente para exercer as suas funções, não sendo exigida certificação ou formação específica, bem como que a indicação seja feita por ato formal, que pode ser contrato de prestação de serviços ou um ato administrativo. Na hipótese de se indicar um encarregado que integre os quadros do agente de tratamento, a ANPD ressalta que ele precisa dispor de estrutura adequada para exercer as suas atividades, o que pode incluir recursos humanos, tempo e orçamento. Ou seja, na hipótese de se designar um encarregado que desempenhe outra atividade para o agente de tratamento, é necessário se certificar de que ele possa exercer as duas funções concomitantemente. A disponibilização da estrutura necessária pode ser oferecida com a contratação de softwares e sistemas de gestão de dados, suporte de outras equipes, ou contratação de consultorias especializadas para auxiliá-lo.
Em outubro deste ano, a Associação Internacional de Profissionais de Privacidade (IAPP — International Association of Privacy Professionals) publicou o seu relatório anual em que analisa a profissão de privacidade no âmbito global [1]. Destacamos alguns aspectos do relatório que podem contribuir para as organizações que estão amadurecendo a decisão sobre a escolha do seu encarregado e o planejamento da sua estrutura de segurança e privacidade de dados para o próximo ano.
Em mais da metade das empresas pesquisadas, o responsável pela proteção de dados integrava a equipe jurídica, porém também se encontrou quantidade significativa de profissionais dentro das áreas de segurança da informação, tecnologia da informação, compliance, ou uma área exclusiva de proteção de dados. A preferência por alocar o responsável de proteção de dados na área jurídica faz sentido na medida em que a maior preocupação relatada pelas organizações é com o cumprimento da legislação vigente. De acordo com a pesquisa realizada pela IAPP, os dois principais temas que a equipe de privacidade reporta à alta gestão são violação de dados e status do cumprimento da legislação de proteção de dados. Em ambos os casos há risco de sanções pelas autoridades administrativas, além de potencial risco de ações judiciais dos titulares e, a depender do caso concreto, o questionamento dos acionistas e danos à reputação.
Além disso, mais de 70% das empresas têm um DPO, o que indica a necessidade da sua função, ainda que no país em que ela esteja localizada não haja exigência legal. Entre as empresas que têm DPO interno, 60% indicaram que ele é responsável pelas questões relacionadas à proteção de dados no âmbito global, enquanto 40% indicaram que designam um DPO para determinado país, sendo mais recorrente a necessidade de profissional específico para Alemanha (59%), Reino Unido (34%) e, em seguida, o Brasil (25%). Assim, a pesquisa indica a peculiaridade das exigências da legislação brasileira, mesmo para aquelas empresas que têm um responsável pela proteção de dados com atuação multinacional.
A equipe de privacidade é frequentemente responsável pela elaboração de políticas de privacidade e governança, informação e treinamento, resposta a incidentes, acompanhamento da regulamentação legal de privacidade e proteção de dados, questões de privacidade em produtos e serviços, impacto da privacidade ou avaliação na proteção de dados, comunicações relacionadas à privacidade, investigações de privacidade, participação em comitês internos de dados, monitoramento de privacidade, gerenciamento de fornecedores relacionados à privacidade, inventário e mapeamento de dados, observância do critério de privacy by design para desenvolvimento de produtos, transferência internacional de dados, desenvolvimento e treinamento específico para a equipe de privacidade, programas de métrica de privacidade, compliance com a legislação europeia, tomada de decisão ética sobre o uso de dados, auditoria de privacidade, entre outras.
Assim como a legislação brasileira, as leis de outros países também preveem diversos direitos dos titulares de dados. Entre as empresas entrevistadas, 60% indicaram ter um time dedicado a atender os direitos dos titulares, sendo mais recorrentes os pedidos de acesso e de apagamento/exclusão de dados pessoais. Em relação aos direitos dos titulares, um terço das empresas indicaram que a questão mais desafiadora é monitorar as práticas de terceiros com quem os dados são compartilhados. Isto é, notamos que o monitoramento das atividades do operador não é desafiador somente para as empresas brasileiras, que se encontram em contexto de cultura corporativa de privacidade ainda iniciante.
As orientações da ANPD e o relatório da IAPP de 2021 apontam que a designação do encarregado, ou DPO, é mais do que uma exigência da lei brasileira, mas uma tendência global da necessidade de uma pessoa ou uma equipe responsável pela privacidade de dados ou ainda uma consultoria especializada. O amadurecimento da cultura de privacidade de dados indica que a privacidade de dados tende a ser um setor indispensável para o funcionamento das organizações.
[1] https://iapp.org/media/pdf/resource_center/IAPP_EY_Annual_Privacy_Governance_Report_2021.pdf.