Por Renata Diniz
Renata Diniz é advogada formada pela Universidade Federal de Minas Gerais, onde também é mestranda na área de Direito, Tecnologia e Inovação, com pesquisa é focada na proteção de dados pessoais. É também pós-graduada pela Pontifícia Universidade Católica de Minas Gerais (PUC-MG) em Direito de proteção e uso dos dados pessoais.
Possui a certificação CIPM-BR, emitida pela International Association of Privacy Professionals, que compreende a gestão de projetos de governança de dados e compreensão da legislação brasileira sobre o tema.
Atua na área de proteção de dados pessoais através da consultoria para adequação e serviço de DPO as a service. As principais atividades realizadas são o mapeamento de atividades e elaboração de documentação pertinente para a governança de dados dentro de uma empresa.
DPO as a Service: por que ter um DPO externo é a melhor opção?
A LGPD trouxe muitas dúvidas e ansiedades para todos aqueles que tratam dados pessoais no Brasil. Por se tratar de um tema extremamente novo, ainda existem muitas incertezas quanto à melhor forma de proceder para cumprir as determinações da Lei de Proteção de Dados. Uma das questões que levantou inúmeras dúvidas foi a contratação do encarregado, assim como as alternativas que surgiram, entre elas o DPO as a service.
Se você também tem dúvidas sobre o tema, continue com a gente e vamos conhecer juntos essa figura!
Quem é o encarregado na Lei de Proteção de dados?
Segundo a definição trazida pela LGPD, o encarregado é o responsável por fazer a ligação do agente de tratamento (seja o controlador ou o operador), com os titulares de dados e a ANPD. Saindo um pouco da linguagem técnica, isso significa que o ele á a ponte entre a empresa que trabalha, de uma forma ou de outra, com dados pessoais, as pessoas a quem os dados pessoais dizem respeito, e a Autoridade Nacional.
Apesar do nome trazido pela legislação brasileira ser o encarregado, comercialmente usa-se com frequência a nomenclatura DPO – Data Protection Officer, que diz respeito ao equivalente encontrado na legislação europeia, a GDPR. Ambos têm funções e obrigações semelhantes, de maneira que não há prejuízo com o intercâmbio.
Qual a sua função, atividades e exigências legais?
A Lei Geral de Proteção de Dados não é muito detalhada ao tratar do DPO, deixando a cargo do mercado e das empresas definirem quais as qualificações desejáveis para assumir o cargo. É recomendável que se trate de uma pessoa com especialização na área e que tenha conhecimento da empresa, para assim poder atender as todas as demandas e questões que surgirem com maior brevidade e eficiência.
Já no que diz respeito às suas atividades, há um pouco mais de informação na LGPD. Além de intermediar a relação com os titulares de dados e a ANPD, cabe ao DPO orientar os colaboradores da empresa a apoiá-los no que diz respeito à proteção de dados pessoais. Ele será, assim, o responsável por guiar a criação de uma cultura interna de bom uso das informações.
Por fim, cabe ao encarregado atender a demais exigência que possam surgir, seja em virtude de novas normas editadas pela Autoridade Nacional, ou de outra empresa que faça parte do mesmo processo de tratamento de dados (os chamados controladores, que decidem a forma como as informações serão trabalhadas).
O que é e como funciona o DPO as a service?
Não há na LGPD nenhuma exigência quanto à relação entre o DPO e a empresa. Isso sign
ifica que ele não precisa ser um funcionário contratado exclusivamente para ocupar o cargo, e pode ser terceirizado. A terceirização da função é o que chamamos de DPO as a service.
Como é necessário ter conhecimento aprofundado de proteção de dados pessoais para ocupar o cargo, muitas empresas e profissionais tem se preparado com afinco para prestar esse serviço para os players que preferirem não ter um funcionário dedicado.
Quando se opta pela contratação de um DPO externo ou Encarregado externo, é essencial apresentá-lo ao funcionamento da empresa, das funções exercidas por cada setor, da forma como cada processo funciona e dos objetivos buscados com cada forma de tratamento de dados.
A falta de conhecimento prévio é, ao mesmo tempo, uma vantagem e uma desvantagem. Se, por um lado, é preciso que ele gaste tempo compreendendo todos esses fatores, por outro lado a chegada de uma pessoa que ainda não tem o olhar comprometido em um sentido ou outro pode permitir que ele perceba potenciais riscos que passariam despercebidos ao observador familiarizado.
Nesse caso, a medida mais importante a ser adotada é habituar as lideranças internas com o DPO as a service, e criar uma linha de diálogo aberta e constante, para que os dois lados possam se acostumar com a nova situação. As demais atividades exercidas serão exatamente iguais a de um encarregado interno, incluindo a necessidade de criação de um plano de conscientização para ajudar na formação da cultura de proteção de dados pessoais na empresa.
Quais as vantagens de contratar um DPO as a service?
Existem duas vantagens principais em se contratar um DPO externo. A primeira diz respeito à especialidade do profissional, e a segunda à economia da empresa.
A temática de proteção de dados pessoais ainda é incipiente no Brasil, e seu estudo aprofundado se restringe a nichos específicos. Por isso, ao procurarmos um encarregado, é importante prestar atenção à sua dedicação ao aprendizado. Já existem no mercado aqueles que buscaram se especializar, com foco em certificações de grande renome mundial (como pela IAPP – International Association for Privacy Professionals), e que têm acompanhado todo as discussões e mudanças na LGPD.
Dificilmente um profissional que não se dedica ao tema com exclusividade poderá dedicar o tempo e atenção necessários a tamanho aprofundamento, que inclui, muitas vezes, estudo de materiais internacionais e não traduzidos para o português. A contratação de um DPO as a service dá à empresa a chance de buscar alguém com esse perfil, e que tem interesse em manter-se atualizado sobre o tema.
Mesmo caso se opte por nomear um funcionário como DPO, poucas empresas terão demandas suficientes para mantê-lo no cargo com exclusividade, e essa divisão da atenção pode dificultar sua atualização. E, na hipótese de procurar-se um candidato que atenda a todas essas características para trabalhar exclusivamente como encarregado esbarramos em um novo problema: o altíssimo custo desse profissional.
Como é uma função que exige uma grande especialização, manter um DPO interno exclusivamente nessa função tem se mostrado muito caro, e poucas são as situações em que há demanda suficiente para compensar o gasto.
DPO as a Service: por que essa é a melhor opção?
Portanto, o DPO as a service é uma boa alternativa para a empresa que busca equilibrar dois fatores essenciais na tomada de decisão: a qualificação do profissional e o custo.
O DPO que presta serviço terceirizado tem a vantagem de poder trabalhar para vários players, diluindo assim os custos da prestação do serviço. Ao mesmo tempo, ele precisará manter-se atualizado para poder trabalhar com eficiência, resguardando seus clientes.
Ele também tem a possibilidade de trazer um olhar novo e não enviesado para os processos internos, e assim encontrar tanto lacunas quanto soluções que dificilmente seriam percebidas por alguém que já está familiarizado com eles.
Ainda, trabalhando com diversos mercados diferentes, ele desenvolve uma visão geral dos problemas enfrentados e soluções encontradas para a proteção de dados em diferentes tipos de empresas, o que facilita o intercâmbio de conhecimento e de possibilidades entre os mais diferentes players.
Garantir que o DPO cumpra com suas funções com eficiência é essencial para que o projeto de adequação da empresa funcione corretamente. Como ele é um interlocutor com titulares de dados e a autoridade regulamentadora, o encarregado está diretamente envolvido em diversas outras obrigações trazidas pela LGPD, e o mau exercício dessa função pode levar à penalização.
DPO as a Service X Operação Assistida
Uma alternativa intermediária entre a contratação do serviço de DPO e o DPO interno, é a chamada operação assistida. Nessa modalidade, escolhe-se um funcionário da própria empresa para assumir a posição, e uma consultoria externa especializada para apoiá-lo em caso de necessidade.
Assim como as outras duas alternativas, essa modalidade tem vantagens e desvantagens. Ainda não temos orientações claras da Autoridade Nacional de Proteção de Dados sobre quais os requisitos específicos para o cargo de encarregado, mas, se seguirmos a mesma linha adotada na GDPR, é importante ter atenção para que não haja um acúmulo de funções no DPO que o leve a não poder se dedicar satisfatoriamente à função.
Há, portanto, a necessidade de independência e idoneidade. O DPO deve ter o poder de manifestar livremente sua opinião acerca das questões envolvendo proteção de dados dentro da empresa, sem que seja tolhido ou direcionado. Deve também ser alguém que não guarda nenhum conflito de interesse relativo esses processos.
Encontrar um profissional com essas características não é fácil, mas tem uma grande vantagem: o conhecimento relativo à proteção de dados pessoais é adquirido dentro da própria estrutura da empresa e aperfeiçoado constantemente, em interação constante com as demais áreas envolvidas. Esse amadurecimento no tema é de extrema importância, já que a proteção de dados não é um assunto passageiro, mas uma pauta constante a partir de agora. Contar com um DPO interno pode ser um fator importante para a mudança de cultura da empresa, e, se bem assessorado, ele poderá atender às necessidades tão bem quanto um especialista terceirizado.
Se você tem dúvidas quanto à melhor opção para sua empresa ou quer conhecer melhor as alternativas que temos a oferecer, entre em contato! Aqui no Camargo e Vieira temos profissionais especializados, certificados internacionalmente, e prontos para atenderem às suas demandas, tanto como DPO as a service, modalidade na qual temos um produto ideal para atender às suas necessidades, como operação assistida, que podemos satisfazer de acordo com sua demanda!
