Vigente desde agosto de 2020, a Lei Geral de Proteção de Dados pessoais, nº 13.709, trouxe grandes mudanças para o meio empresarial. Estruturando uma rede fortalecida de segurança jurídica quanto ao uso dos dados pessoais, ao padronizar normas e práticas adotadas por companhias dos mais diversos segmentos, a lei é responsável por promover a proteção dos dados de todo cidadão que está no Brasil. Além dos dados pessoais que são manuseados comumente pelas empresas, a LGPD também faz uma distinção sobre os dados sensíveis e sobre crianças e adolescentes, esclarecendo que tanto o ambiente digital como o físico são sujeitos à regulação.
Neste contexto, a LGPD é válida em todo o território nacional, ou seja, as companhias que possuem sede ou operações fora do Brasil, mas transacionam dados no espaço nacional, também precisam se atentar quanto à lei. O tratamento dos dados pessoais deve respeitar o que é previsto pela norma, uma vez que envolve todas as pessoas que estão no país, sendo brasileiras ou não. Embora não haja um padrão das sanções, as penalidades administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados, órgão de fiscalização do cumprimento da LGPD, variam de acordo com a gravidade da transgressão, podendo ser uma advertência ou multas simples de até 2% do faturamento das empresas (nesse caso, há o limite de R$ 50 milhões por infração), multas diárias, eliminação dos dados pessoais, suspensão ou a proibição parcial ou total das atividades das empresas.
Tendo em vista estes pontos, a lei modifica por completo a rotina corporativa de inúmeras empresas e traz consigo particularidades que não podem ser deixadas de lado. Por isso, foi criada a nova profissão do Data Protection Officer (DPO), especialista encarregado pela proteção dos dados, para garantir que as companhias estejam com o Compliance em dia. Este profissional é responsável por assegurar boas práticas empresariais a respeito do tratamento dos dados pessoais, atuando como uma “ponte” entre os titulares e os principais interesses das empresas com a coleta dessas informações.
O que a legislação prevê sobre o DPO?
O Data Protection Officer é uma pessoa física ou jurídica definida pela empresa detentora dos dados pessoais e mostrou-se uma figura fundamental com a publicação do General Data Protection Regulation (GDPR), o Regulamento Geral de Dados da União Europeia implementado em maio de 2018. Este profissional precisa ter noções avançadas de Compliance, bem como de tecnologia, ao lidar diretamente com plataformas de coletas de dados. O DPO precisa ser um verdadeiro especialista em proteção de dados para proporcionar às empresas as melhores práticas relacionadas à LGPD, estando em acordo com a lei e evitando possíveis multas ou advertências.
Em nossa legislação, o DPO recebeu destaque no artigo?5°, inciso VIII: “encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Já o artigo 41 detalha quais são as atividades executadas por esse especialista, como o recebimento de comunicações da ANPD, providências que devem ser adotadas, orientação dos funcionários sobre as práticas da LGPD, entre outras. Vale ressaltar que este profissional também pode ser terceirizado, por meio do DPO as a Service.
A importância do DPO no período de vigência da lei
Mesmo antes da LGPD entrar em vigência, muito se falava sobre a necessidade de ter uma figura semelhante ao DPO nas companhias, para que os dados coletados fossem tratados corretamente. Agora, com a vigência da lei, a presença deste especialista é indispensável. Isso porque o DPO lidará com informações ricas para qualquer empresa, evitando riscos à imagem e a quebra de confiança entre instituição e população. Afinal, uma empresa autuada pela legislação automaticamente passa a vista com maus olhos pela sociedade, uma vez que representa um ambiente sem cuidado com os dados de seus clientes.
Embora a contratação do DPO não seja obrigatória, é interessante contar com a expertise desse profissional todos aquelas empresas que manuseiam um volume alto de dados pessoais ou sensíveis. Quanto maior o porte empresarial, maior a complexidade dos insumos coletados diariamente. Ademais, o DPO pode ser um membro importante para tomadas de decisão, justamente por seu background que tange o entendimento sobre dados.
Em suma, para se ter um Data Protection Officer é necessário avaliar o conhecimento quanto à lei, considerando, também, a GDPR, que foi utilizada como base para a estruturação da LGPD. Espera-se, ainda, que este profissional tenha um bom entendimento das operações de processamento de dados realizadas pela empresa, reconhecendo o momento certo de solicitar uma informação ao cliente e mapear se aquele dado é, de fato, fundamental para a companhia. O DPO precisa ser centrado nos dados, compreendendo o grau de importância da segurança e tendo aptidão de impactar diretamente a cultura de proteção de dados.
Afinal, para estar em conformidade com a lei, é preciso ir além das camadas de gestão e liderança. Toda a companhia precisa estar engajada e conseguir, juntos, ofertar o maior cuidado com os ativos manipulados pela empresa.
Eduardo Nistal , CEO do Grupo Toccato.
