A sua empresa já contratou um DPO? Chegou a hora!

A não indicação do DPO, além dos riscos regulatórios, pode levar a companhia a perder tração e o adequado monitoramento de seu programa de governança e, quiçá, a confiança de seus clientes

Fernando Bousso (*)

Com o mundo cada vez mais conectado e com as mudanças da era digital, em pouco tempo o Encarregado de Dados, conhecido como DPO (ou Data Protection Officer), será o seu maior aliado. E ainda reforço: quanto antes, melhor. 

E se você não sabe o que é isso, entenda que ele será uma figura importantíssima na sua empresa nos próximos anos, pois será responsável pela estruturação – se ainda não tiver iniciado a adequação à Lei Geral de Proteção de Dados (LGPD) – e condução do seu programa de governança de privacidade.

E se você não sabe o que é LGPD, recomendo fortemente que siga por aqui, já que ela pode servir como uma excelente ferramenta para permitir a estruturação do seu negócio de maneira mais eficiente e para sustentar o uso de dados pessoais com mais flexibilidade em comparação à regra anterior, particularmente no contexto de negócios inovadores, baseados em Inteligência Artificial. Fala-se muito nas sanções legais por mau uso de dados pessoais, mas, para além das sanções, o maior impacto deve ser na reputação e confiabilidade de sua marca.

A LGPD, que entrou em vigor em 18 de setembro de 2020, é um novo regramento jurídico que regula o tratamento de dados de pessoas físicas, no ambiente on-line e off-line e nos setores público e privado. A lei estabelece como dados pessoais de clientes, colaboradores, fornecedores e parceiros podem e devem ser tratados pelas organizações que têm acesso a essas informações  – não é, portanto, uma lei aplicável apenas a consumidores; negócios B2B também estão cobertos pelo seu escopo de aplicação.

As sanções da lei entraram em vigor a partir de 1º de agosto de 2021, e poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Se a sua companhia ainda não iniciou a adequação, busque o apoio de uma consultoria externa – só está atrasado quem ainda não começou. 

Programa de governança

E, com isso, o DPO vira protagonista. Ele é a pessoa indicada para apoiar a organização na manutenção do seu programa de governança em privacidade e, nesse sentido, garantir a aderência dos processos internos à LGPD. 

Essa pessoa, além de apoiar as áreas internas da companhia no esclarecimento de questões envolvendo privacidade e proteção de dados, particularmente no contexto do desenvolvimento de novos produtos e serviços, será responsável por interagir com os titulares dos dados – sejam eles clientes, colaboradores, parceiros ou fornecedores – sobre eventuais requisições de direitos (de acesso aos dados, por exemplo). O encarregado também é responsável por interagir, conforme o caso, com a ANPD, no contexto de investigações, auditorias ou processos administrativos. 

Pela redação atual da LGPD, todas as empresas deverão indicar um especialista para o cargo. É possível que, no futuro, haja uma flexibilização, pela ANPD, quanto a quais empresas deverão indicar um encarregado, especialmente no que se refere a startups e empresas de pequeno porte, mas, hoje, a indicação do DPO é obrigatória. 

Essa indicação pode ser feita tanto internamente, se valendo de colaboradores de seu quadro atual, ou por meio da contratação de consultorias especializadas, que vêm atuando como DPO-as-a-service. A não indicação do DPO, além dos riscos regulatórios, pode levar a companhia a perder tração e o adequado monitoramento de seu programa de governança e, quiçá, a confiança de seus clientes.

Área multidisciplinar

Vale dizer que diversos profissionais podem buscar a formação em privacidade e proteção de dados. A área de proteção de dados, hoje, deve ser talvez uma das mais multidisciplinares, contemplando profissionais de diferentes formações, setores e, inclusive, nacionalidades. Não somente advogados, mas também profissionais de segurança da informação, de tecnologia, de compliance ou de auditoria vêm buscando formações para entender melhor a matéria. 

Nesse ponto, é importante dizer a esses profissionais que o DPO, além de conhecer a legislação de proteção de dados – se possível não só do Brasil, mas em nível internacional – deve estar muito bem familiarizado com o negócio e setor da empresa em que atua – as diretrizes organizacionais, as áreas, os produtos e os serviços oferecidos. Tudo isso é imprescindível para que esta pessoa consiga apoiar adequadamente a companhia e, em especial, antecipar possíveis problemas.   

Tanto a atenção às normas regulatórias quanto a indicação de um profissional que esteja à frente delas são demandas inadiáveis. Escândalos envolvendo o uso de dados, vazamentos de informações, a falta de confiança de clientes e colaboradores sobre como as empresas tratam seus dados e a insegurança jurídica por parte das companhias, que não sabem exatamente o que podem ou não fazer com esses dados, só demonstram a urgência desses dois papeis na criação de uma regra central e mais clara, garantindo segurança jurídica para todas as partes. 

(*) Advogado sócio da área de Proteção de Dados do Baptista Luz Advogados, certificado como Fellow of Information Privacy (FIP), Privacy Professional (CIPP/E) e Privacy Manager (CIPM) pela IAPP. 

 

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *