Análise da necessidade da figura do data protection officer (DPO) no cenário brasileiro

A proteção de dados se relaciona intimamente com os direitos fundamentais, principalmente com o direito à privacidade e intimidade. Esta última é componente essencial da formação do ser humano. Portanto, a definição do que é exposto ou não sobre alguém, do que se quer tornar público ou não, é mais que uma preferência ou capricho: trata-se de agora de uma área jurídica tutelada no Brasil.

Face a essa necessidade de proteção, surgiu a General Data Protection Regulation (GDPR), de um projeto iniciado em 2012 e aprovado no ano de 2016. Foram mais de 4 anos de discussões legislativas até a sua promulgação, fato que ressalta a complexidade do tema. O objetivo dessa regulamentação é justamente a proteção de dados dos cidadãos da União Europeia.

A GDPR tornou-se um modelo internacional de proteção de dados, influenciando diversos países a terem a mesma iniciativa. Assim, a lei geral de proteção de dados foi criada no ano de 2018 justamente para o controle e proteção de dados pessoais dos cidadãos e residentes brasileiros. O seu principal objetivo é garantir os direitos dos titulares desses dados. A LGPD é severa, tanto quanto a GDPR, e traz previsão de punição para quem a descumpre, podendo ser desde advertência até multa.

Diante disso, existe a necessidade de se compreender todo o complexo tecnológico que circunda a proteção de dados. O Big Data e a inteligência artificial são conceitos que devem ser compreendidos nesse contexto. Apesar de não termos consenso quanto à sua definição, em linhas gerais, a inteligência artificial visa a eficiência de previsões e análises que seriam impossíveis de serem encontradas humanamente. Já o Big Data se volta ao mecanismo de processamento e análise de um grande volume de dados, dentre eles os pessoais. 

Nesse vértice, com a adoção do Big Data e da inteligência artificial nas organizações, várias formas eficientes de tratamento de dados poderão ser utilizadas. Estas garantem que esses dados de terceiros sejam tratados e protegidos, e que a empresa esteja em conformidade com a legislação de proteção de dados.

Verifica-se, pois, a necessidade da atuação profissional nas organizações. Essa atuação deve ser especializada, culminando então na necessidade da figura do Data Protection Officer. Esse profissional é responsável por garantir que a empresa esteja em conformidade com a regulamentação sobre proteção de dados. Trata-se de uma exigência que surgiu com a GDPR e a LGPD inseriu em seu texto, contudo na legislação brasileira o profissional se chama encarregado.

O Data Protection Officer refere-se, portanto, a um cargo direcionado à proteção de dados nas organizações, empresas ou entidades que utilizam grandes quantidades de dados pessoais. Ele é o responsável por garantir que a empresa esteja em conformidade com a regulamentação sobre proteção de dados. Destaca-se que a sua necessidade ocorre sempre que o tratamento de dados for realizado por órgãos e autoridades públicas que lidem com dados especiais e sensíveis.

Nesse sentido, cumpre ressaltar o artigo 39 da GDPR que define quais são as suas tarefas, vejamos:

Informar e aconselhar o responsável pelo tratamento e os demais profissionais sobre suas obrigações nos termos do GDPR; controlar a  conformidade com a GDPR e com as políticas do responsável pelo  tratamento, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal envolvido no tratamento; prestar aconselhamento, se  tal for solicitado, no que se refere à avaliação do impacto da proteção de  dados, e acompanhar o seu desempenho; cooperar com as autoridades; servir de ponte para a autoridade de supervisão em questões relacionadas com o tratamento (GENERAL DATA PROTECTION REGULATION, 2016).

Em vista do exposto podemos observar que esse profissional não se confunde com a figura do controlador e do operador dos dados pessoais, pois são figuras distintas. No Brasil, a LGPD, em seu artigo 5°, inciso VII trata do encarregado como a  pessoa indicada pelo controlador e operador para atuar como canal de  comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de  Proteção de Dados (ANPD). Além disso, a legislação também torna obrigatória que as empresas brasileiras tenham que contratar o encarregado para a adequação da empresa à legislação. 

Inicialmente, o processo de tratamento de dados é necessário porque possibilita a fácil organização dos dados pessoais e a implementação de uma padronização na coleta, manipulação e armazenamento dos mesmos. A empresa deve ter, portanto, uma estruturação de processos que garantirá a eficácia da lei e a organização dos dados.

Assim, de acordo com Krastins et., al., (2020), com a lei geral de proteção de dados, as organizações devem preparar e implementar seu plano de adequação para o cumprimento das diretrizes traçadas pela lei, respeitando os direitos dos titulares de dados pessoais e evitando sua responsabilização. Além de ter que desenvolver uma "cultura da privacidade" em sua organização, os gestores devem conseguir interpretar a lei da forma correta, o que pode ser um desafio" (KRASTINS, 2020, p. 05).

Esse profissional pode ter qualquer formação, e pode ser pessoa física ou jurídica. Ademais, ele precisa ter conhecimento de Direito, ou seja, de aspectos jurídicos da sua atividade. Na regulamentação europeia (GDPR), há critérios objetivos que, se atendidos, obrigam a nomeação do DPO, conforme transcrição: 

(a) tratamento efetuado por autoridade ou organismo público, excetuando  tribunais no exercício de sua função jurisdicional; (b) atividade principal que  importe em tratamento de dados pessoais com controle regular e sistemático dos titulares de dados em grande escala; e (c) atividade principal que importe  em tratamento de dados sensíveis, especificamente de origem racial ou  étnica, opinião política, convicção religiosa ou filosófica, filiação sindical, bem  como dados genéticos, biométricos, e dados relativos à saúde, à vida sexual,  ou orientação sexual, ou dados pessoais relativos a condenações penais e  infrações (GENERAL DATA PROTECTION REGULATION, 2016).

Em contrapartida, no Brasil, a LGPD não estabelece critérios objetivos para o DPO. Essa tarefa ficou a cargo da Autoridade Nacional de Proteção de Dados (ANPD). Mas de toda forma a lei brasileira trouxe a obrigatoriedade da figura do Encarregado pelo Tratamento de Dados Pessoais, como já descrito acima, cargo similar ao do data protection officer - DPO.

Para estabelecer os critérios objetivos, foi publicado o Guia de Agentes de Tratamento e do Encarregado pela ANPD no ano de  2021. Conforme as informações contidas neste Guia, deve-se assumir, como regra geral, que toda organização deverá indicar uma pessoa para assumir esse papel. Depreende-se, portanto que em regra, toda organização deve ter um  encarregado. Contudo, normativas futuras da Autoridade Nacional de Proteção de Dados poderão trazer outras hipóteses de dispensa da necessidade desse  profissional, a depender da natureza e o porte da entidade ou o volume de operações de tratamento de dados. 

Por enquanto, ficamos com a disposição de que os Agentes de Tratamento e o encarregado tenham liberdade ao desempenhar as suas funções, como se vê:

Como boa prática, considera-se importante que o encarregado tenha  liberdade na realização de suas atribuições. No que diz respeito às suas  qualificações profissionais, estas devem ser definidas mediante um juízo de  valor realizado pelo controlador que o indica, considerando conhecimentos  de proteção de dados e segurança da informação em nível que atenda às  necessidades da operação da organização (BRASIL, 2021).

A princípio é possível afirmar que as empresas são obrigadas a indicar o encarregado, e futuramente, caso haja mudança na temática, é possível que esse profissional seja dispensado em algumas situações. Logo, por ainda não haver a regulamentação específica, mesmo as pequenas empresas e profissionais autônomos, por exemplo, deverão ter um DPO. Ainda assim, é possível que a empresa terceirize a função, mas não é o recomendado porque isso faz com que a empresa fuja da cultura da proteção de dados. É interessante que o empresário internalize essa cultura, com o DPO dentro do seu quadro de funcionários.

É importante que as organizações contratem profissional capacitado, mesmo que não seja requisito a formação específica. Faz-se necessário que o DPO tenha conhecimento legislativo para melhor aplicação das disposições normativas.

Por fim, o fato de a organização não ter um encarregado não a desobriga do cumprimento das obrigações previstas em lei:

O fato da organização não designar um Encarregado pelo Tratamento de Dados Pessoais, por entender desnecessária a função, não a desobriga do cumprimento das obrigações previstas na lei geral de proteção de dados, muito menos eximirá a organização de alocar seu pessoal ou consultores  externos em assuntos relacionados à proteção de dados pessoais, situação em que o conflito de interesses, comentado mais adiante, também deverá ser  evitado (BRUNO, 2020, p. 358).

Conclui-se, portanto, que o descumprimento dos preceitos legais leva a responsabilização das empresas. De modo que, o melhor caminho a escolher é a adequação da organização à legislação de modo a evitar prejuízos econômicos e trabalhar nos padrões estipulados pela legislação brasileira.