Neste texto vamos explorar os limites, obrigações e responsabilidades do DPO (Data Protection Officer), baseadas nas decisões das Agências de Proteção de Dados europeias e o que elas indicam sobre este cargo.
Responsabilidades do DPO: Introdução
Com a Lei Geral de Proteção de Dados prestes a entrar em vigor, muitas empresas estão focando seus esforços na adequação de suas estruturas organizacionais para a lei. O principal cargo que deve ser criado nas empresas, com base na LGPD, é o de Encarregado de Proteção de Dados.
O Encarregado de Proteção de Dados é um ator criado pela LGPD com base na figura do Data Protection Officer (DPO), cargo central na estrutura de governança de proteção de dados exigida pelo GDPR (General Data Protection Regulation), legislação europeia que embasou a criação da LGPD.
Assim, considerando que nossa lei de proteção de dados já está em vigor, e que a União Europeia já tem mais de dois anos de funcionamento da regulação GDPR, é importante que as empresas brasileiras conheçam as decisões das Autoridades de Proteção de Dados que esclareceram as dúvidas mais comuns referentes ao cargo de DPO na União Europeia.
Uma vez que a ANPD (Autoridade Nacional de Proteção de Dados) está em processo de formação, é necessário observar os esclarecimentos europeus pode dar um norte para a interpretação das funções e dos limites de atuação do Encarregado de Proteção de Dados antes que a própria autoridade brasileira dê sua palavra final sobre o assunto.
Você pode conhecer mais sobre a função de Encarregado de Proteção de Dados (responsabilidades do DPO) na LGPD no artigo: Série LGPD na Prática: DPO – Quem é, o que faz e quais as responsabilidades do Encarregado de Proteção de Dados?
Responsabilidades do DPO: O DPO pode representar o controlador ou operador de dados frente à Autoridade de Proteção de Dados?
Tanto a LGPD quanto o GDPR apresentam três atores centrais em suas estruturas de governança de proteção de dados: o controlador de dados, o operador de dados e o Encarregado de Dados ou DPO.
Em ambas as leis, cada um destes atores tem suas responsabilidades próprias, com os dois primeiros compartilhando as responsabilidades dos “Agentes de Tratamento” na LGPD e o Encarregado sendo responsável por “atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Com base nesta estrutura, ao longo do primeiro ano de implementação da GDPR na União Europeia diversas dúvidas surgiram sobre a possibilidade de os DPOs responderem à Autoridade de Proteção de Dados em nome dos controladores e operadores.
Em janeiro de 2020, a Autoridade Helênica de Proteção de Dados, da Grécia, publicou um esclarecimento de que os DPOs não são autorizados a responder em nome dos controladores e operadores. Isto decorre do fato de que a função de DPO tem como uma de suas características essenciais a independência de seu trabalho e sua autonomia frente à empresa que representa.
Assim, ao responder à Autoridade de Proteção de Dados em nome do controlador ou operador, o DPO poderia se ver pressionado a não cumprir seu papel de prestar informações à Autoridade e aos titulares, e sim de defender a empresa que o indicou para a função.
Esta decisão, que trouxe mais clareza sobre o que a Autoridade de Proteção de Dados espera do DPO, pode ser prejudicada em sua implementação no Brasil. Isto se dá porque o GDPR apresenta os requisitos para a função de DPO de modo muito mais detalhado do que a LGPD o faz sobre o Encarregado, e na lei brasileira não existe a menção de obrigatoriedade de autonomia e independência do Encarregado como a existente no Artigo 36(8) do GDPR que motivou a decisão da Autoridade grega.
Responsabilidades do DPO: O DPO pode também efetuar Compliance, auditorias internas e gerenciamento de riscos?
No mesmo sentido de garantir a autonomia e independência do DPO, a Autoridade Belga de Proteção de Dados publicou em abril de 2020 uma polêmica decisão em que aplicou a maior multa até então já aplicada no país por proteção de dados sobre uma companhia de telecomunicações que indicou como DPO um funcionário da empresa que também cumpria as funções de Chefe de Compliance, auditoria interna e gerenciamento de riscos.
A multa de 50.000,00 euros foi embasada no conflito de interesses causado pela indicação do DPO. A Autoridade Belga de Proteção de Dados afirmou que nem toda vez em que o mesmo funcionário acumula funções de DPO e de Compliance e gerenciamento de riscos há um claro conflito de interesses, e que 4 questões principais ajudam a elucidar a situação.
Primeiramente, deve ser analisado qual o impacto que ser o DPO pode causar sobre o processo de decisão do empregado frente às suas outras funções. Ser o DPO da empresa pode influenciar negativamente os processos de Compliance, auditoria interna e gerenciamento de riscos? E o contrário? É possível que a atuação nestas áreas comprometa o cumprimento das funções essenciais do DPO?
Em segundo lugar, surge a questão de se o papel de DPO é compatível com a função de auditor interno, surgindo o questionamento de como funciona a dinâmica da função do DPO considerando que, no papel de auditor interno, ele tem o poder de desligar funcionários em resposta aos resultados de uma auditoria.
De modo geral, é levantada a questão de se o DPO é capaz de supervisionar as práticas de proteção de dados não somente da empresa, mas também das áreas que ele mesmo chefia, de maneira independente. Este questionamento pode ser levado para além das áreas de Compliance, gerenciamento de riscos e auditoria, sendo um ponto necessário de cuidado.
Por fim, a Autoridade Belga levanta a questão sobre a confidencialidade do DPO em relação aos outros funcionários. É possível que, exercendo suas demais funções, o DPO compartilhe com seus colegas, superiores e subordinados informações que detém a partir de seu papel como DPO?
É importante ressaltar que a multa aplicada não foi somente resultado direto do acúmulo de funções dentro da empresa, podendo ser atribuída a uma resposta pouco satisfatória da empresa em diversas áreas questionadas. A própria Autoridade Belga de Proteção de Dados deixou claro que, caso a empresa possa responder satisfatoriamente as questões acima, o acúmulo de funções pode ser permitido.
Quais os limites para atuação de um DPO terceirizado (DPO as a Service)?
Tanto o GDPR quanto a LGPD permitem que o controlador, que é obrigado a designar um Encarregado ou DPO, designe um terceiro para exercer esta função. O chamado “DPO as a Service” se tornou uma solução comum para empresas que não se viam na condição de indicar um funcionário próprio para a função ou contratar novo funcionário para o papel.
A recomendação da Autoridade Europeia de Proteção de Dados sobre a questão afirma que é importante que o terceiro contratado para efetuar o “DPO as a Service” aponte um indivíduo específico para tomar para si as responsabilidades da função e para ser o contato principal como DPO frente aos titulares e às autoridades.
Para esclarecer ainda mais esta questão, a Corte Administrativa da Puglia, na Itália, decidiu em setembro de 2019 que o DPO indicado pela empresa terceirizada tem de ser obrigatoriamente um funcionário desta empresa. Ou seja, sua empresa pode terceirizar a contratação de um DPO, porém as empresas que prestam este serviço de terceirização devem ter vínculo de trabalho com todos os funcionários que irão prestar a função de DPO para seus contratantes.
A instituição de comitês de proteção de dados substitui a necessidade de apontar um DPO?
A Agência Espanhola de Proteção de Dados proferiu decisão em junho de 2020 afirmando que não é possível “substituir” a função de DPO por outras funções, cargos ou comitês.
Em resposta a uma empresa que, apesar de não ter um DPO indicado, afirmou estar de acordo com o GDPR por ter instituído um comitê de proteção de dados para tratar das competências técnicas de um DPO e um subcomitê de proteção de dados para tratar das competências de relacionamento com titulares e autoridades, a Agência negou a validade desta estrutura de governança.
Considerando que a função de DPO traz consigo não somente atividades e funções que devem ser realizadas, mas também uma responsabilidade legal diferenciada, por exemplo, a Agência Espanhola de Proteção de Dados confirmou que o formato de governança apresentado pela lei não é meramente exemplificativo e passível de modificações ou adaptações à vontade pelas empresas, multando a empresa em questão em 25.000,00 euros.
Posso indicar um DPO situado em outro país?
Por fim, uma decisão extremamente importante no âmbito do bloco europeu, onde as empresas costumam transitar livremente entre os países membros da União Europeia, foi a imposição de uma multa de 51.000,00 euros para o Facebook, aplicada pelo Comissário de Proteção de Dados da cidade de Hamburgo, na Alemanha.
A justificativa para a aplicação da multa foi o fato de que o Facebook, que coleta, trata e compartilha dados de cidadãos alemães, não tinha nenhum DPO indicado no país. Ainda que a empresa tenha se justificado afirmando que tem um DPO europeu indicado estava localizado na Irlanda, o Comissário considerou que, para atender aos pedidos dos cidadãos e das autoridades alemãs, é necessário haver um DPO localizado em território alemão, designado especificamente para lidar com os dados do Facebook na Alemanha.
Esta decisão não aponta para a necessidade de que todas as empresas que trabalham com dados de cidadãos de mais de um país devem designar DPOs para cada país envolvido, mas para serem transparentes e notificarem as Autoridades de cada país sobre a situação e os dados de contato do DPO designado. Assim, as Autoridades podem aprovar a existência de um DPO no estrangeiro, ou exigir que seja apontado um DPO local.
Time BL Consultoria Digital – Direito Digital e Análise Regulatória
Este artigo “Limites e responsabilidades do DPO: O que as decisões das Agências de Proteção de Dados europeias indicam sobre o cargo“ foi escrito Por Rodrigo Glasmeyer. Foi adaptado de Henrique Fabretti Moraes, Tiago Neves Furtado. The most iconic DPA decisions on DPOs and what you should take from them. IAPP The Privacy Advisor. Conheça o BL Consultoria Digital, acesse aqui!