Terceirização do Encarregado – Muito além do DPO as a Service

Views: 500

Em outubro de 2019 já ponderei que a Governança é o epicentro da jornada de Compliance em Proteção de Dados Pessoais, pois a pedra de toque em qualquer plano de adequação à LGPD é o

desenvolvimento, implantação e manutenção perene da estrutura de Governança em Privacidade e Proteção aos Dados Pessoais.

Mas não há como desenvolver tal estrutura sem a criação e o chancelamento da área que cuidará do tema nas empresas.

A LGPD pecou ao ser extremamente rasa justamente na figura central da governança, o Encarregado (Data Protection Officer – DPO), que deverá ser indicado pela empresa, com identidade e informações de contato divulgadas publicamente, de forma clara e objetiva, preferencialmente em seu portal, com as seguintes responsabilidades, previstas em Lei:

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da autoridade nacional e adotar providências;
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O GDPR, de forma muita mais densa, em razão da importância do cargo, prevê que o DPO é designado com base nas suas qualidades profissionais e, em especial, no seu conhecimento jurídico especializado e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as seguintes funções:

• Informar e aconselhar a empresa e seus colaboradores que tratem dados pessoais a respeito das suas obrigações;
• Controlar a conformidade com o GDPR e demais normas aplicáveis, incluindo o compartilhamento de responsabilidades, a sensibilização e formação dos profissionais que sejam competentes por operações de tratamento de dados;
• Avaliar e aconselhar, quando pertinente, acerca dos relatórios de impacto;
• Cooperar e ser o ponto de contato com as autoridades competentes.

A figura do DPO, conforme o GDPR, é tão relevante que deve contar com autonomia e independência, sendo vedada cumulação de funções que resultem em conflito de interesses.

São deveres dos agentes de tratamento, quanto ao DPO, de acordo com o GDPR:

1. Fornecer os recursos necessários ao desempenho de suas funções e à manutenção do seu conhecimento;
2. Franquear acesso aos dados pessoais e às operações de tratamento;
3. Não interferir no exercício de suas funções;
4. Não demitir ou penalizar o DPO no exercício regular de suas funções;
5. Garantir que o DPO reporte e responsa diretamente a direção no seu mais alto nível.

Sem dúvida, diante da sua relevância e responsabilidades, a nomeação do DPO é um desafio a ser cumprido, seja pela amplitude temática ou conhecimento multidisciplinar inerente a atividade.

A LGPD prevê que a nomeação do DPO é obrigatória para os controladores e a Autoridade Nacional deverá estabelecer normas complementares sobre a sua definição e atribuições, inclusive hipóteses de dispensa da necessidade de sua indicação, o que é cogente.

Assim, mediante uma análise contundente, principalmente, da natureza e do porte da organização, do volume e da criticidade das operações de tratamento de dados, bem como da avaliação do cumprimento das melhores práticas,

a utilização de serviços externos de DPO, que vão muito além da possibilidade do DPO as a Service, podem se apresentar como uma potencial solução para dar vazão ao epicentro da jornada de conformidade à LGPD, que, como já dito, é a governança.

Vejamos algumas das diversas possibilidades:

1) Apoio na estruturação e na contratação de DPO interno

a) Definição da posição do DPO: visa auxiliar a empresa a definir em qual estrutura organizacional o DPO deve ser inserido, além de suas atribuições e alçadas de decisão, visando garantir a sua independência e ausência de conflito de interesses.

b) Apoio na contratação do DPO: visa fornecer os insumos necessários à área de Recursos Humanos para contratação do DPO.

c) Mentoria para o DPO: visa preparar o DPO para exercer todos os aspectos de sua posição.

2) DPO as a Service

A terceirização do DPO consiste em apontar uma pessoa jurídica para assumir esta função perante a autoridade nacional e aos titulares dos dados pessoais.

Ao assumir esta posição, o prestador de serviço conduzirá uma série de atividades junto à empresa para que o Programa de Privacidade ganhe efetividade prática, incluindo mas não se limitando a:

• Gestão do Programa de Privacidade
• Atualização periódica do Data Mapping
• Opinar e monitorar os Relatórios de Impacto à Proteção de Dados Pessoais
• Dar efetividade a gestão das respostas às requisições dos titulares
• Apoiar no desenvolvimento de projetos
• Monitorar e fiscalizar a conformidade
• Treinar e comunicar visando a conscientização plena de todos os envolvidos
• Monitorar novas regulamentações da LGPD e normas setoriais;
• Relacionamento com a ANPD

Nesse caso, conforme orientação do antigo Art. 29 Working Party, validada pelo European Data Protection Board (EDPB), por uma questão de segurança jurídica e para evitar conflitos de interesse, recomenda-se, no contrato de serviço, uma disposição clara de todas as tarefas que serão exercidas pelo DPO as a Service, assim como designar um indivíduo como contato principal no prestador de serviço e a pessoa “responsável” do cliente.

3) Apoio ao DPO

Aplicável para a empresa que decidiu pela nomeação de um DPO próprio, mas em razão do volume de trabalho ou a falta de recursos (tempo, ferramentas, entre outros) o impossibilite de realizar todas as atividades que a função exige, como:

• Apoio na implantação de sistemas para gestão do Programa de Privacidade
• Apoio técnico-jurídico no desenvolvimento de novos projetos que envolvam dados pessoais
• Apoio nos Relatórios de Impacto à Proteção de Dados Pessoais
• Implantação e condução do Comitê de Privacidade
• Treinamento de colaboradores
• Relacionamento com a Autoridade Nacional de Proteção de Dados
• Simulação para garantir o funcionamento do plano de resposta à incidentes
• Atuação em incidentes de violação de dados pessoais
• Monitoramento de leis e normas

4) Conselheiro – Comitê de Privacidade

Caso a organização possua um DPO, porém, a maturidade de seu Programa de Privacidade ainda é menor que o desejado, a composição do Comitê de Privacidade com um profissional externo, com maior experiência no assunto, pode auxiliar na tomada de decisões e na condução das discussões.

Por fim, é importante ponderar que referidas terceirizações podem funcionar também de forma temporária, como gatilho para o estabelecimento inicial da área interna de governança em proteção de dados, ao menos até que a organização consiga seguir sem ajuda externa.

——————————————

AUTOR: Rony Vainzof é advogado, professor e árbitro, especializado em Direito Digital e Proteção de Dados. Coordenador dos cursos de Pós Graduação em Direito Digital na Escola Paulista de Direito e de Extensão em Proteção de Dados na FIA.

Artigo redigido também com base em documentos institucionais do Escritório, elaborados por Henrique Fabretti, coordenador responsável por serviços de DPO no Opice Blum, Bruno, Abrusio e Vainzof Advogados.

FONTE: LINKEDIN