Segundo a nova lei de proteção de dados, todas as empresas devem ter um encarregado de dados (Getty Images/Reprodução)
Bússola
Publicado em 30 de julho de 2021 às 10h00.
Por Fernando Bousso*
Com o mundo cada vez mais conectado e com as mudanças trazidas pela era digital em tão pouco tempo, o Encarregado de Dados, conhecido como DPO (ou Data Protection Officer) será o seu maior aliado. E ainda reforço: quanto antes, melhor.
E se você não sabe o que é isso, entenda que ele será uma figura importantíssima na sua empresa nos próximos anos, pois será responsável pela estruturação – se sua empresa ainda não tiver iniciado a adequação à LGPD (Lei Geral de Proteção de Dados) –, e condução do seu programa de governança de privacidade.
E se você não sabe o que é a LGPD, recomendo fortemente que siga por aqui, já que a lei pode servir como uma excelente ferramenta para permitir a estruturação do seu negócio de maneira mais eficiente e para sustentar o uso de dados pessoais com mais flexibilidade em comparação à regra anterior, particularmente no contexto de negócios inovadores, baseados em inteligência artificial. Fala-se muito nas sanções legais por mau uso de dados pessoais, mas, para além das sanções, o maior impacto deve ser a reputação e a confiabilidade de sua marca.
A LGPD, que entrou em vigor em 18 de setembro de 2020, é um novo regramento jurídico que regula o tratamento de dados de pessoas físicas, nos ambientes online e off-line e nos setores público e privado.
A lei estabelece como dados pessoais de clientes, colaboradores, fornecedores e parceiros podem e devem ser tratados pelas organizações que têm acesso a essas informações – não é, portanto, uma lei aplicável apenas a consumidores. Negócios B2B também estão cobertos pelo seu escopo de aplicação. As sanções da lei entrarão em vigor em breve, a partir de 1º de agosto de 2021, e poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Se a sua companhia ainda não iniciou a adequação, busque o apoio de uma consultoria externa – só está atrasado quem ainda não começou.
E, com isso, o DPO vira protagonista. Ele é a pessoa indicada para apoiar a organização na manutenção do seu programa de governança em privacidade e, nesse sentido, garantir a aderência dos processos internos à LGPD. Essa pessoa, além de apoiar as áreas internas da companhia no esclarecimento de questões envolvendo privacidade e proteção de dados, particularmente no contexto do desenvolvimento de novos produtos e serviços, será responsável por interagir com os titulares dos dados – sejam eles clientes, colaboradores, parceiros ou fornecedores – sobre eventuais requisições de direitos (de acesso aos dados, por exemplo). O encarregado também é responsável por interagir, conforme o caso, com a ANPD, no contexto de investigações, auditorias ou processos administrativos.
Pela redação atual da LGPD, todas as empresas deverão indicar um especialista para o cargo. É possível que, no futuro, haja uma flexibilização, pela ANPD, quanto a quais empresas deverão indicar um encarregado, especialmente no que se refere a startups e empresas de pequeno porte, mas, hoje, a indicação do DPO é obrigatória.
Essa indicação pode ser feita tanto internamente, se valendo de colaboradores de seu quadro atual, ou por meio da contratação de consultorias especializadas, que vêm atuando como DPO-as-a-service. A não indicação do DPO, além dos riscos regulatórios, pode levar a companhia a perder tração e o adequado monitoramento de seu programa de governança e, quiçá, a confiança de seus clientes.
Vale dizer que diversos profissionais podem buscar a formação em privacidade e proteção de dados. A área de proteção de dados, hoje, deve ser talvez uma das mais multidisciplinares, contemplando profissionais de diferentes formações, setores e, inclusive, nacionalidades. Não somente advogados, mas também profissionais de segurança da informação, de tecnologia, de compliance ou de auditoria vêm buscando formações para entender melhor a matéria.
Nesse ponto, é importante dizer a esses profissionais que o DPO, além de conhecer a legislação de proteção de dados – se possível, não só do Brasil, mas em nível internacional –, deve estar muito bem familiarizado com o negócio e setor da empresa em que atua – as diretrizes organizacionais, as áreas, os produtos e os serviços oferecidos. Tudo isso é imprescindível para que esta pessoa consiga apoiar adequadamente a companhia e, em especial, antecipar possíveis problemas.
Tanto a atenção às normas regulatórias quanto à indicação de um profissional que esteja à frente delas são demandas inadiáveis. Escândalos envolvendo o uso de dados, vazamentos de informações, a falta de confiança de clientes e colaboradores sobre como as empresas tratam seus dados e a insegurança jurídica por parte das companhias, que não sabem exatamente o que podem ou não fazer com esses dados, só demonstram a urgência desses dois papéis na criação de uma regra central e mais clara, garantindo segurança jurídica para todas as partes.
Fernando Bousso é sócio da área de Proteção de Dados do Baptista Luz Advogados. Advogado com mais de dez anos de experiência em direito e tecnologia, com experiência em Privacidade e Proteção de Dados, certificado como Fellow of Information Privacy (FIP), Privacy Professional (CIPP/E) e Privacy Manager (CIPM) pela IAPP. Mestre em Computer and Communications Law pela Queen Mary, University of London, escreve hoje na coluna de Renato Cirne
Este é um conteúdo da Bússola, parceria entre a FSB Comunicação e a Exame. O texto não reflete necessariamente a opinião da Exame.
Siga a Bússola nas redes: Instagram | Linkedin | Twitter | Facebook | Youtube