Estudo: LGPD provavelmente exigirá pelo menos 50.000 DPOs só no Brasil

Views: 21
0 0
Read Time:5 Minute, 12 Second

A Lei Geral de Proteção de Dados do Brasil está em vigor. Assim como o Regulamento Geral de Proteção de Dados da UE, a LGPD tem aplicabilidade extraterritorial, o que significa que qualquer organização que processe dados pessoais no Brasil deve cumprir a lei independentemente da localização da empresa. Um dos requisitos da LGPD para essas empresas nos termos do artigo 41 é que elas devem nomear um oficial de proteção de dados para ser “responsável pelo processamento de dados pessoais”. Dada a prevalência de processamento de dados na economia digital atual, estimamos que são necessários aproximadamente 50.000 DPOs no prazo imediato para cumprir com a LGPD.

Precisamente quantos DPOs são necessários em resposta à entrada em vigor da lei não é totalmente claro. O artigo 41 diz apenas que “o controlador nomeará um oficial para ser responsável pelo processamento de dados pessoais” e fornece uma pequena lista delineando as responsabilidades dos DPOs. Não há nada no artigo que limite a aplicabilidade da exigência a empresas acima de um determinado tamanho ou processamento de uma certa quantidade de dados pessoais. Conforme escrito, o requisito é aplicável a todos os controladores que processem quaisquer dados pessoais.

Supondo que a maioria das empresas processe hoje pelo menos alguns dados pessoais, o texto da lei tende a indicar que cerca de 4,5 milhões de empresas brasileiras (sem mencionar empresas estrangeiras sujeitas à LGPD) precisariam nomear DPOs em resposta à lei. Claramente, esse número não é uma estimativa realista. Noventa e nove por cento das empresas brasileiras são pequenas organizações, muitas vezes, empregando apenas uma ou duas pessoas e provavelmente não são o alvo pretendido para essa nova exigência.

Assim, é improvável que a aplicabilidade da exigência permaneça ilimitada indefinidamente.

Felizmente, a clareza sobre o assunto não exige uma alteração na lei. Em vez disso, espera-se que as orientações e limitações venham da autoridade nacional, a Autoridade Nacional de Proteção de Dados, que está autorizada pela seção 3 do artigo 41º a “estabelecer regras complementares sobre a definição e os deveres do oficial, incluindo situações em que a nomeação dessa pessoa pode ser dispensada, de acordo com a natureza e o tamanho da entidade ou o volume de operações de processamento de dados”.

Infelizmente, a ANPD ainda não existe para estabelecer tais regras. Isso é problemático, dado que a lei agora é aplicável.

Consequentemente, mesmo que a ANPD limite a exigência de DPO, a concessão constitucional de um direito de ação privado, além das capacidades de execução das autoridades locais, significa que até que a ANPD forneça clareza sobre o assunto, a não nomeação de um DPO poderia expor até mesmo as menores organizações a penalidades dispendias. Muitas dessas pequenas organizações podem se sentir compelidas a nomear um DPO enquanto aguardam a orientação da ANPD.

A pergunta permanece: Como a futura orientação da ANPD pode influenciar o número de DPOs necessários sob a LGPD? E quantos DPOs provavelmente serão necessários na prática?

Levamos cada uma dessas perguntas, por sua vez, para estimar os limites inferiores e superiores das necessidades de DPO, respectivamente. A lei permite que a ANPD emita novas limitações “de acordo com a natureza e o tamanho da entidade ou o volume de operações de processamento de dados”.

Acreditamos que a ANPD poderia restringir as obrigações de DPO para grandes empresas que processam dados pessoais, talvez aquelas com mais de 250 funcionários, além de empresas de qualquer porte envolvidas no processamento em larga escala.

Em relação à primeira opção, estatísticas públicas disponíveis pelo IBGE indicam que existem cerca de 12.100 grandes empresas no Brasil. Se a ANPD decidisse aplicar a exigência apenas para grandes empresas, seriam necessárias aproximadamente 12.100 vagas de DPO. Esta é a opção de cálculo mais conservadora e não leva em conta empresas estrangeiras sujeitas ao escopo extraterritorial da lei.

Alternativamente, se a ANPD decidiu adotar essa última abordagem, suspeitamos que até 50% de todas as empresas brasileiras de determinados setores (estes incluem transporte, armazenamento e correio; acomodação e alimentação; informação e comunicação; saúde humana e serviços sociais; e atividades científicas e técnicas profissionais) e até 100% de todas as empresas em outros (atividades financeiras, de seguros e de serviços relacionados) processam dados em larga escala e, portanto, exigiriam um DPO. Esse cálculo reconhece que muitas empresas menores, além de grandes empresas, realizam o processamento em larga escala de informações pessoais.

Se a ANPD instituir tal exigência, o número de vagas estimadas de DPO necessárias fica muito grande muito rapidamente. Em comparação com os 12.100 sugeridos anteriormente, esse método de cálculo sugere que aproximadamente 669.100 posições de DPO no Brasil poderiam ser exigidas pela LGPD.

Dado que o tamanho da economia brasileira (medido pelo Produto Interno Bruto) é cerca de 10% da economia da UE e que pesquisas anteriores do IAPP encontraram cerca de 500.000 organizações registradas de DPOs na Europa durante o primeiro ano após a adoção do GDPR, a estimativa de que quase 700.000 posições de DPO são necessárias parece alta.

Dadas as duas opções anteriores, isoladas ou combinadas, são principalmente teóricas neste momento, consideramos a experiência das organizações sob o GDPR para obter insights sobre o que poderíamos esperar no Brasil na prática. Não se sabe se as empresas que nomearam um DPO em resposta ao GDPR foram legalmente obrigadas a fazê-lo ou se algumas o fizeram para errar por precaução ou como uma boa prática empresarial não é aparente.

Parece razoável supor que a experiência no Brasil seria semelhante ou até mais cautelosa, dada a possibilidade de litígio privado. Supondo que o número de organizações sujeitas à LGPD em comparação com o GDPR seja aproximadamente proporcional ao tamanho de mercado de cada país, estimamos que a LGPD poderia gerar uma necessidade de cerca de 50.000 — 10% de 500.000 — posições de DPO.

Em última análise, sem mais orientações da futura ANPD, milhões de organizações poderiam enfrentar um requisito legal para nomear um DPO. Atualmente, o número de prováveis novas posições de DPO varia de mais de 12.100 a 4,5 milhões mais (considerando empresas estrangeiras).

No entanto, como descrito acima, achamos muito mais provável que o número verdadeiro seja em torno de 50.000.

FONTE: IAPP

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *