A função é importante e necessária para sua conformidade com a lei
Para começar vamos saber o que é um Encarregado ou DPO (Data Protection Officer).
Nos próximos dias, o Presidente da República deverá sancionar a lei e, a partir daí, a empresa precisará ter a indicação de um responsável pela LGPD de maneira formalizada. Esse responsável é o Encarregado conforme definido em nossa Lei Geral de Proteção de Dados Pessoais ou o DPO (Data Protection Officer) na GDPR europeia. Ainda conforme nossa lei, poderá ser uma pessoa física ou uma pessoa jurídica (DPO as a service) com profundo conhecimento da lei e, principalmente, grande conhecimento da estrutura funcional da empresa.
Voltando à questão inicial: quem é e o que faz esse personagem?
Conforme a LGPD, DPO (ou Encarregado na nossa lei) é alguém que cuida da proteção dos dados pessoais do Titular (Pessoa Natural), fiscalizando como as instituições cuidam dessas informações, e tendo habilidade para interagir com essas instituições, as autoridades responsáveis (ANPD) e os cidadãos, dono desses dados. Resumindo: cabe a ele transformar em realidade, dentro das instituições, o que a lei preconiza.
Para transformar o texto complexo e abstrato da lei e transformá-lo em algo palatável, o encarregado deve agir em várias frentes: a) seguir as determinações do controlador (responsável pelo dados dentro da empresa; b) orientar o mesmo na adequação junto aos órgãos públicos; c) interagir com esses órgãos públicos; d) manter negociações, quando necessário, com o cliente (dono dos dados). Além disso, deve orientar funcionários e parceiros a manter um uso adequado dos dados pessoais existentes na empresa.
O trabalho do encarregado é, portanto, bastante extenso e de alta responsabilidade, envolvendo, entre outros: a) receber e responder às solicitações do titular dos dados, prestando esclarecimentos e adotando providências de correção, se necessário; b) receber e tratar comunicações da autoridade nacional ANPD e da Justiça; c) acompanhar e garantir as políticas da empresa em relação a proteção de dados pessoais em procedimentos existentes e em novos projetos; d) orientar e treinar colaboradores definindo padrões de trabalho. Isso exige um trabalho interdisciplinar, obrigando conhecimento técnico e jurídico.
Cabe então uma pergunta: toda empresa precisará de um encarregado (DPO)?
Em princípio, sim! Quem poderá criar exceções é a ANPD (Agência Nacional de Proteção de Dados), a partir de interpretação da lei. Assim, pequena ou grande, pública ou privada, toda empresa irá precisar de um encarregado (DPO) para gerir sua conformidade frente à LGPD. O porte não é parâmetro para ter ou deixar de ter. Evidente que, por exemplo, uma rede de sapataria, mesmo grande e com muitos funcionários, não deve ter grande complexidade de tratamento de dados pessoais. Por outro lado, uma pequena empresa de serviços de saúde terá uma atividade de controle de dados muito maior, incluindo dados sensíveis principalmente.
Falemos agora de uma figura permitida na LGPD: o encarregado PJ ou DPO as a service.
Diferente da lei europeia, a LGPD contempla a possibilidade de contratação de pessoa jurídica (uma consultoria) para atender o trabalho de conformidade. A contratação de DPO as a service pode ser uma alternativa adequada às pequenas e médias empresas, por ser menos custosa, não exigindo um alto orçamento para a adequação. Do ponto de vista legal, essa situação é perfeitamente permitida. Do ponto de vista de boas práticas administrativas, alguns cuidados devem ser tomados.
Em primeiro lugar, e absolutamente indispensável, um contrato de confidencialidade é o primeiro passo que uma consultoria deve oferecer. Os dados são da empresa e permanecem na empresa.
Outro ponto importante: um funcionário deveria estar próximo do trabalho, para ser um elo entre a consultoria e as áreas da empresa. Importante também a área jurídica participar do processo.
O encarregado contratado faz a empresa ganhar um tempo inestimável por trazer a experiência da LGPD junto com ele. Uma das ações a serem desenvolvidas por essa consultoria é a de treinamento do pessoal interno, condição importante para a internalização dos conceitos e procedimentos de conformidade.
E o tempo para estar em conformidade fica cada vez menor…
Com poucos dias para a entrada em vigor da legislação, treinamento e adequação ficam comprometidos e a alternativa de terceirização se torna mais barata e menos tumultuada no caminho da conformidade. Mesmo que seja por algum tempo, até toda a cultura ser absorvida, essa é uma boa alternativa. Não podemos esquecer que após a conformidade vem a manutenção dos procedimentos e a constante revisão dos processos. Trabalho não irá faltar…
Reiterando, o caminho a ser seguido não é fácil e exige investimento, pois envolve estrutura técnica para guarda dos dados e também muitas horas de trabalho de análise e avaliação dentro das empresas, com forte treinamento de seus colaboradores e adoção de novos processos e reeducação cultural.
Mas não há motivos para as empresas temerem a lei. Ao contrário, ela deveria ser vista como uma oportunidade de negócio. Adequar-se à LGPD pode gerar valor, mostrar presença em um mercado competitivo, ser o diferencial para uma empresa de ponta. A LGPD não é uma lei que restringe, mas sim, conduz à inovação. Está propondo uma proteção a um bem que as empresas possuem: os dados e isso, já deveria ser um objetivo da empresa, pois gera dinheiro!
Este é o panorama que se apresenta como desafio para o atendimento dessa legislação.
O tempo para iniciar é já. O trabalho a ser executado é grande! Mas podemos ajudar no processo!
