Já ouviu falar em “DPO coletivo”?
Daniela Monte Serrat Cabella, da Neoway
O DPO somos nós! Sim, esta frase está correta. A Medida Provisória nº 869/2018 alterou a redação da LGPD – Lei Geral de Proteção de Dados1 para abrir a possibilidade de o Data Protection Officer ser uma pessoa jurídica. A redação original da lei determinava que o DPO fosse uma pessoa física, indo na contramão da tendência europeia2. Seis meses após a publicação da lei, a MP corrigiu esta questão para uniformizá-la com o cenário internacional.
Para empresas com operações de tratamento de dados pessoais mais simples, estabelecer uma única pessoa física como encarregada por esse processamento seria adequado. No entanto, para outras empresas, com operações complexas de tratamento, recomenda-se que essa responsabilidade seja dividida por integrantes de um corpo técnico multidisciplinar, seja ele interno ou externo.
Internamente, pode-se ter um DPO que atue com o apoio de um comitê composto por gestores das principais áreas envolvidas no tratamento de dados pessoais. Também é possível aproveitar um comitê de segurança da informação já instituído e incluir na pauta as questões de proteção de dados, tornando-o um comitê de segurança da informação e privacidade, por exemplo.
Nessa mesma linha, seria possível instituir um contato “dpo@empresa” que envolvesse o/a gestor/a de compliance, do jurídico, de TI e SI, dentre outros, para que a responsabilidade pela resolução das questões de proteção de dados seja organizada entre eles e de acordo com a matéria envolvida. Nesse contexto, é aconselhável que um desses profissionais fique como contato principal e gestor dessas atividades.
Já externamente, é possível que a função de DPO seja exercida por um prestador de serviços contratado para essa finalidade. Para essa hipótese, o Working Party 29, órgão consultivo para proteção de dados criado sob a Diretiva europeia de 19953 , estabeleceu as seguintes orientações4 :
Se a função do [DPO] for exercida por um prestador de serviços externo, um conjunto de pessoas que trabalha para essa entidade poderá exercer de modo eficaz as funções do [DPO] enquanto [equipe], sob a responsabilidade de um [contato] principal e «pessoa responsável» [designada] para o cliente. Neste caso, é essencial que cada membro da organização externa, que exerce as funções de [DPO], cumpra todos os requisitos aplicáveis do [GDPR].
Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de interesses dos membros das [equipes], as presentes orientações recomendam que o contrato de prestação de serviços preveja uma clara repartição das tarefas no seio da [equipe] do [DPO] externo e a designação de uma única pessoa como [contato] principal e pessoa «responsável» do cliente.
Como o Brasil tem o modelo europeu por inspiração para a LGPD, a tendência é que as empresas brasileiras também adotem opções variadas para o exercício da função de DPO, escolhendo o modelo que melhor lhes atende dentro dos limites legais. Sendo o modelo escolhido o de grupo multidisciplinar de profissionais, é fundamental que ele se conecte a todas as áreas do negócio que tratam dados pessoais e se organize de maneira ágil para atendê-las, como um modelo plug and play.
O formato de “DPO coletivo” prova que a flexibilidade gera inovação não apenas no âmbito dos negócios, mas também na proteção de dados.
1 Lei nº 13.709/2018.
2 Conforme o art. 37 (6) do Regulamento n. 2016/679, ou GDPR – General Data Protection Regulation.
3 Diretiva n. 95/46/EC. Substituído, em 2018, pelo Comitê Europeu para a Proteção de Dados.
4 Working Party 29. Orientações sobre os encarregados da proteção de dados (EPD), pág.26. Disponível em: https://bit.ly/2CejOcc. Acesso em 31.01.2019. Texto original na linguagem de Portugal adaptado (adaptação livre).
Daniela Cabella é Data Protection Counsel da Neoway. Tem experiência em empresas de tecnologia e em escritórios de Direito Digital e Full Service. Primeira profissional certificada como DPO – Data Protection Officer pelo EXIN na América, Daniela é membro da IAPP – International Association of Privacy Professionals e do Comitê PrivacyBR e pós-graduanda em Gestão da Inovação e Direito Digital pela FIA. É graduada em Direito pela USP e certificada em Contratos Internacionais pela International Chamber of Commerce (ICC – França), Contratos pela HarvardX, Mediação pelo Institute of Arbitrators & Mediators Australia (Resolution Institute), National Judicial College, dos EUA, Escola Paulista da Magistratura e em Negociação Avançada por Harvard, EUA. Coautora do livro Direito Digital Aplicado 3.0.