O encarregado de dados (DPO - data protection officer) e a acumulação de função no âmbito das relações de trabalho

Após a entrada em vigor da LGPD (lei Geral de Proteção de Dados), sancionada em 14 de agosto de 2018 com a lei 13.709/18, e, principalmente, com a entrada em vigor das sanções administrativas que ainda acontecerá em agosto do ano de 2021, as empresas iniciaram os processos de adequações internas, na tentativa de mitigar qualquer risco de sanções que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) e, também, visando proteger a privacidade de seus clientes e colaboradores.

Nesse sentido, verifica-se que são diversas as adequações empresariais necessárias, dentre outras, tais como:

• Adequação dos fluxos operacionais;
• Criação de normas de segurança da informação;
• Conscientização dos colaboradores;
• Alterações contratuais com clientes, fornecedores e colaboradores;
• A definição de um Encarregado de Dados (DPO - Data Protection Officer).

Este artigo, tem como foco, as atividades do Encarregado de dador, porém, antes de adentrar à explicação sobre o que é o Encarregado de Dados, é de extrema importância relembrar quem são os agentes de tratamento de dados que a LGPD trouxe ao mundo jurídico brasileiro.

A lei conceitua que agentes de tratamento de dados, são o Controlador e o Operador.

Mas o que são eles?

Existe uma grande discussão sobre a conceituação destes dois agentes e há, inclusive, posicionamentos de que a ANPD ainda tratará do assunto, conceituando, de forma mais específica sobre esses dois quase protagonistas da lei, já que o real protagonista é o titular de dados pessoais.

O Controlador, de acordo com a lei, é "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;"¹. Já o Operador é "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;"².

De forma bem informal, é possível dizer que o Controlador é quem ordena e o Operador é quem obedece. Na prática, podemos verificar a figura destes dois agentes nas relações entre uma Empresa "X" (Controlador) que contrata o serviço de hospedagem de dados em nuvem da Empresa "Y" (Operador). Caso a Empresa "X" queira deletar algum dado que foi armazenado, esta é a única com poderes para tomar decisões sobre esse tratamento sendo, desta forma, o Controlador.

Ultrapassada essa rápida conceituação, chegamos ao Encarregado de Dados, frequentemente chamado de DPO (Data Protection Officer), conforme conceitua o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

O DPO é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)"³. Ainda, a LGPD traz quais são as atividades a serem exercidas pelo DPO, sendo as seguintes:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Agora, surgem as questões mais frequentes das empresas que estão passando pelo processo de adequação à LGPD:

Quem será o DPO da empresa? Quais são as qualificações necessárias para ser DPO? Contratar ou indicar algum colaborador como DPO?

De início, ressalta-se que ainda não há na LGPD informações sobre as qualificações do DPO, tampouco norma expedida pela ANPD sobre o assunto, de forma que é sempre sugerido indicar alguma pessoa com conhecimentos mínimos da legislação para que esta possa, assim, exercer as funções acima mencionadas.

Além do mais, não há qualquer impedimento quanto à contratação de um novo colaborador para a realização desta função possibilitando, até mesmo, a terceirização da função a algum prestador de serviço que atuará como DPO service, uma vez que inexiste tal previsão na LGPD e muito menos na GDPR. Importante mencionar que a GDPR é frequentemente, mesmo que de forma as vezes equivocada, utilizada como consulta em razão de preceder à LGPD com relação à proteção de dados pessoais.

O que se observa do mercado é que as empresas vêm optando por indicar um dos colaboradores da própria companhia para exercer a função de DPO, surgindo, novamente, outras importantes dúvidas, desta vez na esfera trabalhista.

Uma das principais questões que surgem é a de que se o DPO eleito dentre os funcionários, poderá exigir um plus salarial por eventual acumulação de função.

O artigo 456 da Consolidação das Leis do Trabalho, em seu parágrafo único, estabelece que:

Art. 456. A prova do contrato individual do trabalho será feita pelas anotações constantes da carteira profissional ou por instrumento escrito e suprida por todos os meios permitidos em direito.         

Parágrafo único. A falta de prova ou inexistindo cláusula expressa e tal respeito, entender-se-á que o empregado se obrigou a todo e qualquer serviço compatível com a sua condição pessoal.

Aferir corretamente se um empregado trabalha em acúmulo de função é tarefa complexa, pois referido tema é tratado de uma maneira bastante rasa em nossa legislação.

Nesse sentido, cada caso deve ser analisado com bastante cautela e de forma individualizada.

Como cediço, o acúmulo de função é a situação em que o empregado exerce, ao mesmo tempo com as funções contratadas, tarefas novas, não correlatas às tarefas inicialmente contratadas ou incompatíveis com a natureza destas.

Trata-se, portanto, de um desequilíbrio entre as partes, onde as funções inicialmente contratadas por meio de contrato de trabalho e aquelas exigidas pelo empregador não possuem correlação, gerando um descompasso na relação contratual, em outras palavras, gera prejuízo ao empregado, que deve ser remunerado pelas funções estranhas à contratação.

E a grande "arte" em se distinguir se existe caracterização do acúmulo de função reside justamente em se definir qual é a função pactuada no contrato de trabalho e as exigidas de forma incompatível com as contratadas, especialmente porque o art. 456, parágrafo único, da Consolidação das Leis do Trabalho, consta que:

"a falta de prova ou inexistindo cláusula expressa e tal respeito, entender-se-á que o empregado se obrigou a todo e qualquer serviço compatível com a sua condição pessoal."

Considerando que a grande maioria dos contratos de trabalho não listam quais são as atividades a serem desenvolvidas pelo trabalhador e em não havendo qualquer prova em sentido contrário, presume-se que o empregado se obrigou a realizar todas as tarefas compatíveis com a sua condição pessoal e, portanto, que seu salário remunera todas as tarefas desempenhadas.

No entanto, em nosso sentir, para os casos em que profissionais de empresas que exercem atividades não ligadas a tecnologia e segurança de dados, deveriam possuir majoração salarial em razão do acúmulo de função.

Isso porque, o DPO deve ser profissional com dominância interdisciplinar, devendo, em razão da Natureza de sua atividade, estar completamente focado em seu trabalho.

A sua atuação segue regras específicas, norteadas por uma Lei Nacional, feita com base em legislação aprovada previamente na Europa.

Apesar de a legislação brasileira não definir qual a formação ideal para ser um DPO, o regulamento do "velho mundo" é claro sobre a necessidade de o encarregado pela área ser alguém que conheça as leis específicas.

Tal situação ocorre para que se garanta que o profissional que trabalha com governança, gestão e transparência dos dados, permaneça 100% dedicado à função, sem acúmulos. Isso se torna realmente desejável, já que traz uma maior autonomia ao profissional, que trabalha sem limitações de seus superiores hierárquicos ou autoridade supervisora.

Como o DPO será o "ponto de foco" relacionado ao tema, ou seja, a pessoa que mais entende sobre os riscos e os mecanismos de segurança, acaba se tornando uma referência sobre o tema dentro da companhia.

A atuação desse profissional é bastante ampla, emprestando conceitos das áreas de infraestrutura, TI, gestão de processos, administração, além de uma boa comunicação.

A comunicação efetiva talvez seja um dos maiores requisitos, tendo em vista que o profissional, de acordo com a lei, atuará "como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados".

Com mais razão ainda em relação a cumulação de funções é que muitas empresas acabam tendo dificuldade na hora de contratar alguém para a vaga, já que essa é uma função relativamente nova e que combina habilidades de diferentes áreas.

Por isso, é comum que organizações menores acabem optando por terceirizar o serviço, contando com empresas de consultoria e escritórios de advocacia especializados em segurança de dados, por exemplo.

CONCLUSÃO

Com a vigência da LGPD (lei Geral de Proteção de Dados), sancionada em 14 de agosto de 2018 com a lei 13.709/18, surge a necessidade de um profissional dedicado exclusivamente à proteção dos dados das organizações assim como de seus clientes /ou usuários.

Esse profissional é o Data Protection Officer (DPO).

Sua atuação envolve conhecimentos e habilidades de várias áreas, em razão da necessidade de ser o comunicador oficial para resolver qualquer problema que por ventura o titular de Dados Pessoais possa ter, além de possuir o dever de comunicar a Autoridade Nacional de Proteção de Dados sobre possíveis incidentes que possam ter ocorrido. Não menos importante, também precisa dar o respaldo necessário às áreas específicas da empresa para ajudar a garantir que as informações que estão sob tutela da organização não sejam acessadas por terceiros e utilizadas de forma mal intencionada.

É indiscutível a necessidade de profissional 100% focado e com formação e/ou conhecimento específicos, porém interdisciplinares.

Apesar de o art. 456, da Consolidação das leis do Trablho ser bastante raso, data venia ao texto legal, e não trazer parâmetros palpáveis para se aferir de forma objetiva eventual cumulação de função, é simples deduzir que as atividades desenvolvidas por um DPO, na grande maioria das vezes, serão diferentes das funções já desempenhadas por um trabalhador dentro de uma organização, seja ela pública ou privada.

Assim, parece-nos que caso o profissional DPO seja eleito dentre o quadro de funcionários de uma empresa, restará caracterizada a acumulação de função, exceto se referido trabalhador já for atuante, no que se refere a segurança e proteção de dados.

No caso da exceção, será aplicado o que prevê o art. 456, da CLT, ou seja, "entender-se-á que o empregado se obrigou a todo e qualquer serviço compatível com a sua condição pessoal".