Esse papel de DPO não existe na legislação brasileira, porque o encarregado não compartilha das mesmas responsabilidades legais de um Data Protection Officer. Na lei brasileira, seu papel é de garantir a conformidade de uma organização, pública ou privada, à LGPD
Jefferson Penteado*
A Lei Geral de Proteção de Dados trará, ao longo dos anos, um grande ganho de maturidade para as pequenas e médias empresas no que diz respeito à segurança da informação. A despeito de ter entrado em vigor em 2020, foi no último mês de agosto que as sanções e multas impostas pela lei passaram a valer, causando uma forte procura por ferramentas que contribuíssem para a adequação e, naturalmente, gerando uma série de dúvidas.
Um dos principais pontos de discussão neste processo de adaptação diz respeito ao papel do “encarregado de dados”, pessoa indicada dentro da empresa para atuar como canal de comunicação entre o “controlador” (em geral uma pessoa jurídica), os “titulares de dados” (que têm seus dados tratados por aquela pessoa jurídica) e a Autoridade Nacional de Proteção de Dados, agência criada pelo governo para garantir a execução da LGPD.
Essa confusão vem das origens da Lei aqui no Brasil, uma vez que a mesma foi construída com base na GDPR, norma que regula o tratamento de dados criada pela União Europeia, e que entrou em vigor em 2018. Na GDPR, existe a personalidade do Data Protection Officer (DPO), um profissional com papel executivo e papel de auditor, que tem o objetivo de implementar controles, garantir a adequação e fiscalizar as normas de proteção dos dados.
Como a LGPD passou por um longo período de maturação até que fosse finalmente sancionada pelo governo Michel Temer, muito da informação que circulou entre as empresas e responsáveis pela área de tecnologia tinha como referência a lei europeia. Por isso, como CEO de uma importante fornecedora de tecnologia para a segurança da informação, é normal me deparar, dentro dos clientes, com esta confusão entre o papel do “encarregado”, da LGPD, e o “DPO”.
A verdade é que o papel de DPO não existe na legislação brasileira, porque o encarregado não compartilha das mesmas responsabilidades legais de um Data Protection Officer. Na lei brasileira, seu papel é de garantir a conformidade de uma organização, pública ou privada, à LGPD. Este encarregado, inclusive, pode ser uma pessoa física ou jurídica, que presta serviços para diferentes empresas.
Responsabilidade pelo tratamento
A responsabilidade pelas atividades de tratamento de dados pessoais continua sendo do “controlador”, que detém os dados, ou do “operador de dados”, pessoa física ou jurídica que efetivamente faz o tratamento e uso dos mesmos.
Do ponto de vista das pequenas e médias empresas, essa diferenciação da lei europeia é, de certa forma, um alívio. Pelo aspecto financeiro, a contratação ou manutenção de um profissional ou empresa com responsabilidades de DPO poderia gerar custos inviáveis, que só estariam ao alcance das grandes corporações.
Ela também é positiva para os gestores de TI, que passam a ter as responsabilidades pela implementação da LGPD compartilhadas com seus superiores, contrariando uma lógica comum das PMEs de entregar tudo o que é relativo à tecnologia para o “cara da TI”. A lei deixa claro que cuidar dos dados pessoais tem que ser uma atividade contínua e executada pelas diferentes áreas do negócio.
* CEO da BluePex Ciber Security, empresa nacional de soluções em segurança da informação