Este é o terceiro texto da Série LGPD na Prática, que tem por objetivo auxiliar na disseminação e compartilhamento de informações acerca da adequação dos procedimentos em atendimento à Lei Geral de Proteção de Dados.
Neste texto, você compreenderá o que é e quais são as atribuições do Encarregado de Proteção de Dados (DPO), bem como quais empresas precisam desta função e as implicações da designação do DPO.
Nos dois primeiros textos da série explicamos os primeiros passos para o processo de adequação à LGPD, as fases do projeto de implementação dos procedimentos e processos visando a conformidade com a lei, bem como os principais pontos que uma startup deve se preocupar relacionados à privacidade e proteção de dados no momento da captação de recursos financeiros para escalar seu negócio.
Agora, apresentaremos quem é o DPO, quais são as suas atribuições, esclarecendo se toda empresa precisa de um DPO e se a sua designação pode acarretar no acúmulo de função perante a CLT.
LGPD na Prática: Conheça o DPO – Encarregado de Dados
A figura do DPO (Data Protection Officer), ou Encarregado de Proteção de Dados em português, surge como um dos principais atores dentro da estrutura de governança da proteção de dados em qualquer instituição que trabalhe com a coleta e o tratamento de dados.
A estrutura de governança da proteção de dados tem 3 principais atores que têm suas funções definidas na LGPD: o controlador, o operador e o encarregado.
O controlador, cuja função é definida no art. 5º §VI da LGPD, consiste na “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Nesta definição, o conceito chave é o poder de decisão. O controlador é aquele que define o tratamento de dados e quais são seus objetivos. Por causa deste poder de decisão, também é ele que tem mais responsabilidades exigidas pela lei.
O operador, então, descrito no parágrafo seguinte da lei, é a pessoa que realiza o tratamento de dados pessoais em nome do controlador. O controlador define qual o escopo do tratamento de dados, quais seus objetivos, e então cabe ao operador realizar as operações de tratamento.
Conhecendo basicamente as funções do controlador e do operador, compreendemos melhor qual é a posição do Encarregado de Proteção de dados na estrutura dos processos de tratamento de dados.
O Artigo 5º, §VIII da LGPD define o que é o encarregado:
“Encarregado: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);”
O Encarregado de Proteção de Dados tem como principal característica servir como o elo de comunicação entre as partes do processo de tratamento de dados.
Um importante detalhe sobre a figura do encarregado ficou visível ao longo das mudanças efetuadas na LGPD antes de sua entrada em vigor. O texto original aprovado da lei deixava explícita a necessidade de o encarregado ser uma pessoa natural. Com a Medida Provisória nº 869 e depois pela Lei nº 13.853 de 2019, que alteraram o texto da LGPD, deixou de ser obrigatório que o encarregado fosse pessoa natural, o que abre a possibilidade de que a função seja exercida, por exemplo, por empresas especializadas.
Assim, o DPO pode ser tanto um profissional contratado pela entidade ou empresa que efetua o tratamento de dados, sendo seu funcionário, quanto um terceiro que efetua as funções por meio de um contrato de prestação de serviços, sendo possível então a terceirização da função do DPO.
Outra mudança na lei referente ao encarregado é o veto do parágrafo 4º do artigo 41, que dispunha de outras exigências legais para a figura do Encarregado, afirmando que este deveria ser “detentor de conhecimento jurídico-regulatório”, e que sua autonomia técnica e profissional deveria ser regulamentada pela ANPD (Autoridade Nacional de Proteção de Dados).
A autonomia técnica e profissional é um aspecto muito importante para que as atribuições do DPO possam ser efetuadas de maneira efetiva, uma vez que este profissional deve ter como principal objetivo fazer valer o que está disposto na LGPD e nas demais Leis de Proteção de Dados do mundo que possam ser aplicáveis, bem como facilitar o acesso dos titulares aos seus direitos.
A falta de autonomia deste profissional tem como risco colocar estes objetivos como secundários atrás de objetivos do controlador de dados, o que prejudica toda a estrutura de governança dos dados, bem como a adequação à lei.
Para efetuar suas atribuições, o Encarregado deve ter à sua disposição todas as informações necessárias sobre o ciclo de vida dos dados tratados, e suas conclusões e apontamentos sobre o processo de tratamento dos dados devem ser levadas em consideração pelo controlador.
Estas preocupações com a autonomia do encarregado, vetadas no caso da LGPD, estão claras no artigo 38 do GPDR, que afirma:
“O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.”
Ainda que vetado, o parágrafo 4º do artigo 41 da LGPD oferece uma importante base para o Compliance de proteção de dados ao indicar a necessidade de autonomia do DPO [1].
Ao considerar que o profissional escolhido para a função deve ser “detentor de conhecimento jurídico-regulatório”, o artigo aponta para a necessidade de o DPO ser um profissional multidisciplinar, que detenha extenso conhecimento sobre a Lei Geral de Proteção de Dados, outras Leis de Proteção de Dados ao redor do mundo aplicáveis em seu trabalho, bem como conhecimento sobre outras leis e regulações aplicáveis, como o Código de Defesa do Consumidor (CDC), o Marco Civil da Internet, leis trabalhistas, leis setoriais, entre outras, bem como padrões implementados, certificados, frameworks e standards em segurança da informação.
Assim, deve ser um profissional capaz de compreender todo o ciclo de vida dos dados tanto de uma perspectiva técnica, sabendo identificar gaps e possíveis riscos de segurança, quanto da perspectiva jurídica, identificando as exigências legais aplicáveis a cada etapa do processo.
A Lei Geral de Proteção de Dados dispõe que o controlador tem o dever de divulgar quem é o Encarregado de proteção de dados em suas operações, bem como oferecer suas informações de contato publicamente, de forma clara e objetiva, de preferência em seu site ou plataforma por meio da sua Política de Privacidade[2].
LGPD na Prática: Quais são as atribuições do DPO?
A principal atribuição do DPO ou Encarregado de Proteção de Dados é a de garantir que a coleta e o tratamento de dados ocorram de acordo com o disposto na Lei Geral de Proteção de Dados, bem como com as principais normas e implementações de Compliance e Boas-Práticas na área.
O Encarregado não é um agente de tratamento de dados nos termos da lei, o que significa que não é sua responsabilidade ou função, por exemplo, adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados, como apresenta o artigo 46 da LGPD. Para a lei, somente os operadores e controladores são os agentes de tratamento de dados.
Sua função consiste, então, não em implementar as medidas de segurança ou de Compliance, mas de orientar os agentes de tratamento de dados sobre estas medidas, não sendo assim de sua responsabilidade seu descumprimento.
O artigo 41 da LGPD, em seu parágrafo 2º, lista as funções do Encarregado:
“§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”
Lei Geral de Proteção de Dados
É possível afirmar que, para cumprir sua função de garantir que a lei e as boas-práticas sejam cumpridas, é papel do DPO servir de canal de comunicação entre o controlador, o titular dos dados e a ANPD.
É papel do DPO garantir que o titular possa exigir seus direitos, listados no artigo 18 da LGPD, como o direito à correção de dados incompletos, inexatos ou desatualizados ou à eliminação dos dados pessoais tratados com seu consentimento. Em resumo, é papel do controlador cumprir esses direitos, mas papel do DPO garantir que o titular possa exigir seus direitos ao controlador, servindo como elo entre as duas partes.
O GDPR vigente na União Europeia, e que serviu como base para a criação da LGPD, apresenta funções similares para o DPO, trazendo suas funções de maneira um pouco mais específica em seu artigo 39:
“1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:
- Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
- Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
- Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35.o;
- Coopera com a autoridade de controlo;
- Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36.o, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.”
O Encarregado também tem, tanto no GDPR quanto na LGPD, uma função preventiva, no que diz respeito ao seu papel de orientar os colaboradores e parceiros do controlador sobre questões relacionadas às boas-práticas da Proteção de Dados e da Segurança da Informação. É seu papel elaborar um código de governança corporativa de proteção de dados que ecoe os princípios da Lei Geral de Proteção de Dados nas práticas não somente dos controladores, mas também de seus parceiros[3].
LGPD na Prática: Toda empresa precisa de um Encarregado de Dados (DPO)?
A Lei Geral de Proteção de Dados institui a necessidade de que toda empresa ou negócio, independente de seu tamanho ou área de atuação, que faça o tratamento de dados pessoais, sejam eles em meio digital ou físico, de clientes, parceiros ou funcionários, designe uma pessoa para a função de Encarregado de Proteção de Dados.
No entanto, o parágrafo 3º do Artigo 41 da lei apresenta que cabe à Autoridade Nacional de Proteção de Dados (ANPD) especificar situações em que a necessidade de apontamento de um encarregado não é obrigatória:
“§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.”
É possível prever que a ANPD pode vir a desconsiderar a necessidade de empresas de pequeno porte e com pequeno volume de tratamento de dados pessoais apontarem um encarregado de proteção de dados.
A Autoridade Nacional de Proteção de Dados, órgão da administração pública federal que tem como principal incumbência fiscalizar e implementar as disposições da Lei Geral de Proteção de Dados, bem como esclarecer lacunas na lei, teve sua criação prevista pela Lei 13.853/2019.
Assim, com a LGPD em vigor, as empresas de qualquer porte que não tiverem designado um encarregado de proteção de dados estarão sujeitas à multas e sanções. Ao mesmo tempo, as empresas que incorrerem em violações à lei terão considerados seus esforços na criação de uma estrutura de governança de proteção de dados na hora da definição das sanções, de modo que ter um encarregado que exerça efetivamente suas funções pode diminuir multas ou simplificar as sanções administrativas.
LGPD na Prática: A designação do Encarregado de Dados pode acarretar no acúmulo de função perante a CLT?
A Lei Geral de Proteção de Dados abre a possibilidade de que o DPO seja um funcionário interno da empresa designado para cumprir o papel determinado por lei do encarregado. Ainda assim, o apontamento de um funcionário interno para a função precisa ser pautada em alguns cuidados.
Um dos pontos que devem ser levados em consideração é se a designação do DPO acarreta em acúmulo de função, conforme regulado pelas leis trabalhistas.
Quando um funcionário contratado para exercer uma função especificada no contrato é designado pelo contratante a, além de suas funções originais, também exercer função diversa não compatível a especificada no contrato, ocorre o chamado acúmulo de função.
Segundo a CLT, como para cada atribuição do contratado deve haver uma contraprestação correspondente por parte do contratante, o acúmulo de função com a designação de um DPO com a manutenção de suas atribuições originais deve ser motivo para um aumento salarial. O aumento salarial é justificado pelo aumento da complexidade da função ou da necessidade de maior especialização pelo contratado, o que é comum no caso do apontamento do encarregado pela proteção de dados.
Ainda assim, a função do DPO, como vimos acima, não é uma função simples e exige grande conhecimento jurídico e técnico, bem como autonomia dentro da estrutura da empresa para exercer suas obrigações. Deste modo, corre o risco de a sua designação configurar não o acúmulo, mas o desvio de função.
O desvio de função é o nome dado para quando um empregado é obrigado a exercer função e atividades completamente distintas das previstas em seu contrato de trabalho[4].
Por exemplo, apontar um profissional que trabalhe com função relacionada à supervisão ou à participação no processo de tratamento de dados na empresa para o cargo de DPO sem o liberar de suas funções originais consiste em acúmulo de função, sendo devido o aumento salarial. Por outro lado, apontar um profissional distante do processo de tratamento de dados pode consistir em desvio de função, o que, sem o consentimento do trabalhador registrado em um novo contrato, configura falta grave do empregador, justificando rescisão do contrato com indenização.
A posição mais segura para ambos os casos no momento do apontamento do Encarregado de proteção de dados é a revisão do contrato com o profissional escolhido, de modo que o novo contrato possa refletir tanto as novas responsabilidades do empregado quanto as contraprestações do contratante, assim como especificar a independência e autonomia necessárias para o exercimento da função.
Outra questão que deve ser levada em consideração no momento da nomeação do DPO diz respeito a como suas funções podem interferir na autonomia exigida para a função. Ainda que o GDPR seja mais específico sobre a exigência de autonomia do DPO, no Brasil este aspecto não passará batido no momento de se analisar multas e sanções para empresas que contrariem a lei.
Um exemplo ocorrido na União Europeia que ilustra o risco de se nomear um DPO que esteja envolvido com outras funções no processo de tratamento de dados da empresa foi a multa aplicada pela autoridade nacional de proteção de dados da Bélgica sobre uma operadora de telefonia cujo DPO também cumulava a função de “head of Compliance”.
A multa, que somava o maior valor até então aplicado pela autoridade nacional naquele país, se deu pois durante as investigações sobre um vazamento de dados na empresa a autoridade nacional chegou a conclusão de que as duas funções exercidas pelo DPO eram incompatíveis. Ao estar em constante contato e ter papel decisório dentro do processo de tratamento de dados da empresa, o empregado estaria envolvido no processo de maneira que impedia sua função de supervisionar o processo. O DPO não poderia estar responsável pela supervisão de processos que estão sob seus cuidados, e para a autoridade nacional esta cumulação de funções incompatíveis entre si demonstrou negligência por parte da empresa quanto à proteção de dados.
Este é um dos casos mais extremos neste sentido, sendo considerado excessivo até mesmo dentro da União Europeia, onde diferentes autoridades nacionais fiscalizam as disposições do mesmo texto geral, o GDPR, de maneira independente em seus territórios. Ainda assim, é um caso que indica para a importância de que o apontamento do DPO não seja somente simbólico ou para fins de adequação à lei, mas que deve ser acompanhado das medidas necessárias para que o cargo seja cumprido de maneira efetiva.
DPO as a Service e a terceirização do Encarregado de Dados
A terceirização do DPO ou ainda, DPO as a Service, consiste em apontar uma pessoa jurídica para assumir função de interlocutor perante a autoridade nacional e aos titulares dos dados pessoais.
O DPO no caso consiste em um prestador de serviço não vinculado internamente ao controlador ou operador, e conduzirá uma série de atividades junto à empresa para que o Programa de Privacidade ganhe efetividade prática. Para empresas menores, a solução pode refletir em uma vantagem com a possibilidade de redução de gastos financeiros.
Para conferir segurança jurídica à relação e para evitar conflitos de interesse, recomenda-se que no contrato de serviço possua uma disposição clara de todas as tarefas que serão exercidas pelo DPO as a Service, assim como designar um indivíduo como contato principal no prestador de serviço e a pessoa “responsável” do cliente.
Seguros Cibernéticos e Garantias relacionadas ao DPO
Como vimos acima, a responsabilidade do DPO é grande e impacta em muitos aspectos da adequação da empresa à Lei Geral de Proteção de Dados. Assim, é importante que a empresa e o próprio encarregado estejam preparados para todos os incidentes que podem vir a ocorrer em relação ao tratamento de dados e à aplicação da lei.
Uma maneira prática de garantir que incidentes futuros não causem danos muito altos à empresa ou à pessoa do DPO é a instauração de seguros relacionados à atividade.
Algumas das modalidades de seguros que podem proteger DPOs e empresas são o seguro D&O (Director and Officers), o Seguro Cibernético, Seguro de Responsabilidade Civil Profissional e Seguro de Responsabilidade Civil Cibernética.
O Seguro D&O é contratado pela empresa controladora, operadora ou ainda, pelo DPO as a Service, para assegurar as pessoas físicas que compõem sua estrutura de direção, todos aqueles que têm poder de decisão. O DPO deve estar incluso no grupo de segurados, sendo algumas das coberturas oferecidas pelo seguro de custo de defesa, penhora on-line, restituição de imagem, indenização à sociedade, entre outros que podem ser úteis no momento de um incidente como um vazamento de dados, por exemplo.
O Seguro Cibernético é essencial para qualquer empresa que trabalhe com o tratamento de dados, uma vez que oferecer proteção aos gastos que a empresa pode ter para se recuperar de um ataque, lucros cessantes, extorsão, danos a reputação, reclamações de terceiros, tendo coberturas específicas para temas relacionados à LGPD como cobertura de multas e penalidades, gasto com notificação e monitoramento. É um importante mecanismo de proteção à empresa, em especial àquelas que trabalham com grande volume de dados ou que estão em posição de risco de serem alvo de ataques virtuais.
O Seguro de Responsabilidade Civil Profissional protege o DPO, em especial nos casos em que este trabalha como prestador de serviço, de reclamações decorrentes de erros e omissões, cobrindo custos de defesa, indenizações ou acordos, bem como perda de documentos de clientes e infidelidade de funcionários.
As empresas que oferecem serviços de DPO e também de gestão da segurança de dados precisam se proteger por meio de um seguro de Responsabilidade Civil Cibernética, que as protege no caso de quebra de confidencialidade decorrente de invasões, comprometimento de rede, violações de publicações digitais, danos morais e direito de propriedade intelectual[5].
O Encarregado de Proteção de Dados é um dos atores mais importantes na implementação da governança de proteção de dados em uma empresa, sendo figura essencial para a adequação às leis de proteção de dados, e seu apontamento deve ser uma decisão bem informada e que considere todas as suas implicações para empresa, para o empregado e para a proteção de dados em geral.
Um Escritório de Advocacia pode atuar como Encarregado de Dados?
[Atualizado em 20 de Julho de 2021] A seção de São Paulo da Ordem dos Advogados do Brasil chancelou, no dia 21 de Julho de 2021, o exercício da atividade de encarregado de dados (DPO), não apenas por advogados como pessoas naturais, mas também as sociedades e escritórios de advocacia. Portanto, um escritório de advocacia pode atuar como Encarregado de Dados para cumprir requisitos da LGPD.
Dessa forma, a OAB demonstra que o exercício da função encarregado pelo tratamento de dados, conforme estabelecido pelo art. 41 da LGPD, representa um importante nicho de mercado, que poderá ser acessado pelo advogado e pela sociedade de advogados, com o auxílio de equipe multidisciplinar.
A decisão da OAB-SP, de que “a função de Encarregado de Tratamento de Dados, ou DPO pode ser ocupada por advogados e sociedade de advogados” colabora para que o mercado cumpra com essa necessidade gerada pela LGPD.
Por fim, o profissional que tiver o cargo de Encarregado de Tratamento de Dados ou DPO ficará sujeito a todos os deveres e limitações éticas previstas para o exercício da atividade jurídica, a exemplo, mas não se limitando, ao regramento ético da publicidade, sigilo, captação indevida de clientela e conflito de interesses.
Para contratar o nosso serviço de DPO As a Service, entre em contato com nossos especialistas.
Referências – Série LGPD na Prática: Quem é, o que faz e quais as responsabilidades do Encarregado de Proteção de Dados (DPO)?
[1] Adaptado de Rodrigo Dias de Pinho Gomes, “Encarregado pelo Tratamento de Dados Pessoais na LGPD”. Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/encarregado-pelo-tratamento-de-dados-pessoais-na-lgpd-02102019>.
[2] Adaptado de Comentários à Lei Geral de Proteção de Dados: Lei 13.709/2018. Bruno Feigelson, Antonio Henrique Albani Siqueira. São Paulo: Thomson Reuters Brasil, 2019.
[3] Adaptado de OneTrust Data Guidance, “Comparing privacy laws: GDPR v. LGDP”.
[4] Adaptado de Luis Fernando Prado Chaves, “O DPO ou encarregado de dados pode acumular funções dentro de uma empresa?”. Disponível em: <https://www.oconsumerista.com.br/2020/05/dpo-acumular-cargos-empresa/>.
[5] Adaptado de Seguros online. Disponível em: <https://segurosonlinebr.com/responsabilidade-cibernetica/>; <https://segurosonlinebr.com/seguro-cibernetico/>.
Time BL Consultoria Digital – Direito Digital e Análise Regulatória
Este artigo “Série LGPD na Prática: Quem é, o que faz e quais as responsabilidades do Encarregado de Proteção de Dados (DPO)?“ foi escrito Por Rodrigo Glasmeyer, Revisado por MSc. Graziela Brandão. Conheça o BL Consultoria Digital, acesse aqui!