A Lei Geral de Proteção de Dados (LGPD), em vigor no Brasil desde 2020, estabelece diretrizes claras para garantir a privacidade e a segurança das informações dos cidadãos. No entanto, surge uma pergunta crucial: de quem é a responsabilidade pela proteção desses dados? O departamento jurídico ou o de tecnologia da informação (TI)?
A resposta não é simples, pois, como a LGPD sugere e a prática confirma, a proteção de dados é uma responsabilidade compartilhada, exigindo uma abordagem multidisciplinar que envolve tanto a interpretação jurídica da legislação quanto a aplicação de medidas técnicas de segurança, entre outras dentro do ambiente corporativo. Em outras palavras, o cumprimento da LGPD demanda uma colaboração estreita entre os departamentos de jurídico, TI diretamente e indiretamente de todos os colaboradores da companhia.
O departamento jurídico tem um papel fundamental em assegurar que as práticas da empresa estejam em conformidade com a LGPD. Ele supervisiona a elaboração de políticas internas, define as bases legais para o tratamento de dados e atua como o principal interlocutor com os órgãos reguladores, como a Autoridade Nacional de Proteção de Dados (ANPD). No caso de um vazamento de dados, por exemplo, o jurídico é responsável por garantir que a organização siga os procedimentos legais exigidos pela LGPD, como a notificação à ANPD e aos titulares de dados afetados.
Por outro lado, a TI tem a função de implementar as ferramentas tecnológicas que garantem a segurança dos dados. Isso inclui a adoção de sistemas de criptografia, autenticação multifator e o monitoramento constante de redes para prevenir acessos não autorizados. Como se sabe, a implementação de políticas de retenção de dados e autenticação de duplo fator são essenciais para a proteção adequada das informações sensíveis. A ausência dessas medidas pode levar a graves violações da LGPD.
A LGPD, em seu artigo 6º, deixa claro que é necessário adotar medidas de segurança e prevenção, garantindo que tanto o ambiente físico quanto o digital estejam com eficácia, o DPO precisa ter uma visão ampla e multidisciplinar.
O DPO, encarregado de tratamento de dados, deve compreender profundamente a LGPD e outras normas de proteção de dados, como o GDPR, aplicável na União Europeia. Ele precisa garantir que a organização tenha bases legais para o tratamento de dados e que os titulares de dados sejam informados de seus direitos, como o acesso, a correção e a exclusão de suas informações pessoais.
Mas o DPO também precisa estar familiarizado com as ferramentas tecnológicas que protegem os dados, como sistemas de segurança da informação, práticas de anonimização e pseudonimização, além de técnicas de gestão de risco cibernético. O profissional deve ser capaz de dialogar com a TI e com o CISO para assegurar que as soluções implementadas estejam de acordo com as exigências legais e as melhores práticas do mercado.
Em caso de incidentes de segurança ou suspeitas de violações, o DPO é o responsável por conduzir investigações internas e garantir que a organização tome medidas corretivas. Isso envolve trabalhar com as equipes do Jurídico, de segurança da informação, de compliance e auditoria interna para assegurar que as políticas de privacidade estejam sendo seguidas, e que as investigações sejam conduzidas de forma rápida e eficiente, com o objetivo de mitigar danos.
Um aspecto importante muitas vezes esquecido é que a LGPD não se limita ao ambiente digital. A lei também prevê que dados armazenados em ambientes físicos devem ser protegidos de forma adequada. Isso significa que documentos em papel contendo dados pessoais, como contratos e fichas de funcionários, precisam ser mantidos em locais seguros, como cofres ou armários com controle de acesso restrito.
Minha experiência liderando processo de conformidade com a LGPD aponta que empresas devem adotar políticas rigorosas para a proteção de documentos físicos, como termos de sigilo com prestadores de serviços que manuseiem esses documentos. Além disso, é fundamental que a empresa controle o acesso a esses dados, limitando o número de pessoas que podem visualizá-los e garantindo que todas assinem acordos de confidencialidade.
Esse cuidado com o ambiente físico reforça a necessidade de uma abordagem abrangente e multidisciplinar. Como já defendia o filósofo Aristóteles, "o todo é maior que a soma das suas partes". A proteção de dados não pode ser vista como uma responsabilidade isolada de um único departamento; ela exige a integração entre jurídico, TI, compliance, recursos humanos e uma conscientização e sensibilização de todos os colaboradores.
Jean-Jacques Rousseau, afirmou que "a sabedoria consiste em reconhecer a própria ignorância e buscar respostas em outras áreas do conhecimento." Essa ideia se aplica diretamente à proteção de dados. O jurídico, sozinho, não pode proteger adequadamente as informações pessoais se não contar com a expertise técnica da TI. Da mesma forma, a TI não pode implementar soluções eficazes se não estiver alinhada com os requisitos legais da LGPD.
Portanto, a proteção de dados é, inevitavelmente, uma tarefa multidisciplinar. Ela exige que as empresas adotem uma abordagem colaborativa, onde os diferentes departamentos se complementem e compartilhem a responsabilidade pela segurança e privacidade das informações pessoais. Somente assim será possível cumprir as exigências da LGPD e garantir uma proteção aos dados confiados à companhia e preservar a confiança dos clientes e parceiros de negócios.
Em última análise, a proteção de dados no Brasil, especialmente à luz da LGPD, deve ser entendida como uma responsabilidade compartilhada, inicialmente, entre jurídico e TI, mas que depende do compromisso e empenho de todo o ecossistema empresarial para ser eficaz. Ambos os departamentos desempenham papéis complementares e críticos, assegurando que a organização não apenas cumpra a legislação, mas também proteja os dados de forma eficaz e ética.
O DPO, como figura central nessa equação, precisa ter uma visão integrada e multidisciplinar, abrangendo tanto o conhecimento jurídico quanto o técnico, e atuar de mãos dadas com o Diretor Jurídico e com o CISO. Somente com essa colaboração entre áreas diversas é possível garantir que as empresas estejam preparadas para os desafios complexos da proteção de dados no século XXI.
Assim, a frase de Aristóteles, "o todo é maior que a soma das suas partes", ecoa no coração da proteção de dados: é por meio da união de diferentes disciplinas e departamentos que se atinge a verdadeira segurança e conformidade.
Walter Calza Neto, DPO do Corinthians.
