Entrevista com Rafael Marques, DPO do SMN Advogados Associados, sobre as funções e responsabilidades do cargo e a atuação da ANPD na regulamentação da LGPD

Com o advento da Lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais, foi instituída uma figura indispensável para a adequação das empresas: a do Encarregado pelo Tratamento de Dados Pessoais. Ele tem sido referenciado no mercado como DPO – Data Protection Officer – conforme a denominação dada pela regulação europeia – E.U. General Data Protection Regulation (GDPR), principal referência internacional da LGPD.

A figura do Encarregado é uma novidade na legislação brasileira, mas está presente em várias legislações de proteção de dados no mundo todo, como na Colômbia, no México, na Coreia do Sul, no Canadá, em Singapura e, como já foi dito, nos países europeus, sob a égide da GDPR.

O DPO do SMN Advogados Associados, Dr. Rafael Marques, explicou um pouco sobre as funções de quem ocupa o cargo e a importância de ter um Encarregado nas empresas com a entrada em vigor da LGPD.

1- Quais são as funções e responsabilidades do DPO?

Resposta: Temos hoje, no Brasil, um grande movimento para interpretar a figura do “DPO” (Data ProtectionOficcer) extraída do Regulamento Europeu, o qual serviu como base para a nossa Lei Geral de Proteção de Dados Pessoais (LGPD). Temos a definição em nossa lei, conforme descrito no artigo 5º, inciso VIII, onde se nomeia o Encarregado de dados pessoais da seguinte maneira: “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.  Atribuindo a esta nova função a responsabilidade de interlocutor entre a ANPD, os titulares de dados pessoais e as empresas que exercem atividades de tratamento de dados pessoais. Não obstante a esta dificuldade de se apresentar todas as responsabilidades do Encarregado de Dados Pessoais frente ao descrito em nossa atual legislação, poderá o Agente de Tratamento de Dados Pessoais atribuir ao Encarregado de Dados Pessoais outras funções, conforme disposto no artigo 41, § 2º da LGPD. Descrevendo um rol de atividades do encarregado, que consistem em: I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações da autoridade nacional e adotar providências; III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Ainda que o legislador tenha apresentado características de competências comunicativas ao Encarregado, o § 3 do artigo 41 menciona a possibilidade de a ANPD regulamentar esta atividade e estabelecer os critérios desta nova função. Neste sentido, a ANPD publicou a Agenda Regulatória para o biênio de 2021/22, por meio da Portaria 11/2021. E tratará deste tema no 1º semestre do ano de 2022.

Neste sentido, podemos relacionar as seguintes tarefas e responsabilidades que vêm sendo agregadas por essas empresas, com base na GDPR: Gerir o Programa de Privacidade e Proteção de Dados Pessoais, informando e aconselhando a empresa e seus colaboradores que tratem dados pessoais a respeito das suas obrigações; avaliar e aconselhar, quando pertinente, acerca dos relatórios de impacto à proteção de dados pessoais; cooperar e ser o ponto de contato com a ANPD e demais autoridades competentes, monitorando novas regulamentações da LGPD e das normas setoriais, bem como participar das discussões sobre impacto regulatório e da formulação de boas práticas.

2- O que as empresas devem considerar na hora de nomear ou contratar um DPO?

Resposta: Tendo em vista que todos os Controladores devem indicar um Encarregado pelo tratamento de dados pessoais, as empresas devem considerar as competências técnicas em relação à Lei Geral de Proteção de Dados Pessoais, incluindo (mas não se limitando) todos os passos para um processo de adequação regulatória e conhecimento em adoção de medidas técnicas e administrativas de segurança da informação e das atividades de negócio nas quais o controlador exercerá o tratamento dos dados pessoais.

Além disso, o cargo de Encarregado se diferencia de muitos outros, pois ele exige que o profissional aprenda constantemente sobre negócios e tecnologias, apresentando um trabalho colaborativo e multidisciplinar com as mais diversas áreas internas de uma empresa. Por fim, temos que a figura de um Encarregado dentro de uma empresa surgirá com autonomia, independência e ausência de conflito de interesses para apresentar um trabalho de qualidade e garantir uma correta orientação ao processo de adequação à LGPD.

Neste sentido, para uma empresa manter internamente um DPO com todos os requisitos acima descritos, pode ser extremamente custoso. Porém, para atender as demandas de nossos clientes e empresas em relação à nomeação deste profissional, temos, em nosso escritório, a figura do DPO as a Service, que atuará em parceria com as empresas neste processo de adequação à LGPD.

Este profissional tem, por premissa, a necessidade de atuar de forma independente e autônoma. Portanto, ao indicar um DPO as a Service, a empresa manterá o foco em seus negócios principais, direcionando as questões inerentes ao processo de adequação regulatória à LGPD a profissionais com experiência prática na implementação, inclusive, em Direito Digital. Conte com este profissional para te auxiliar em sua jornada em busca de adequação à Lei Geral de Proteção de Dados Pessoais e para desenvolver, em conjunto com a empresa, projetos de privacidade de dados pessoais com a finalidade de manter a empresa em conformidade, além de implementar um programa contínuo de governança de dados pessoais.

3- Qual é o maior desafio em ser o DPO do SMN Advogados Associados?

Resposta: Vejo que temos diariamente muitos desafios em relação à proteção de dados pessoais, porém, um dos maiores desafios em relação a esta posição se dá em relação ao compartilhamento de uma cultura de proteção de dados. Além disso, o processo de adequação se mostra como sendo algo contínuo, ou seja, ele se inicia com o projeto de adequação regulatória e se transforma em um programa de governança, onde teremos que analisar diariamente e revisar as rotinas de privacidade, considerando cada momento e projeto apresentado pelo escritório.

4- Qual é a importância para as empresas em nomear um DPO para tratar os dados tanto dos clientes quanto dos colaboradores?

Resposta: Conforme acima mencionado, o projeto de adequação regulatória à LGPD não possui um fim em si mesmo. Após ser feita a análise de risco em relação às atividades de tratamento realizadas pela empresa, faz-se necessário atribuir internamente rotinas de acompanhamento para que não se perca os resultados alcançados, instituindo boas práticas e definindo quais são os resultados e expectativas de mercado desta empresa. Pois, dentro do conceito de governança de dados pessoais, entendemos que os titulares de dados pessoais são parte relevante do crescimento reputacional de uma empresa. O tema relacionado à LGPD no Brasil ainda está em evolução, porém merece atenção e acompanhamento contínuo por parte das empresas.

5- Como tem sido a atuação da ANPD frente aos temas que dependem de regulamentação específica na LGPD?

Resposta: Com base nas informações acima mencionadas, alguns temas ainda dependem de regulamentação por parte da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que, divulgou em 20/01/2021, em sua agenda regulatória, dez temas prioritários para o biênio 2021-2022.

O Instrumento estabelece se os assuntos serão tratados por portaria, resolução ou por um guia de boas práticas. Além disso, a respectiva portaria apresenta o prazo previsto para o início do processo de regulamentação dos temas, distribuídos em três fases, vejamos:

–  Fase 1, destacam-se as definições do regime de proteção de dados para pequenas e médias empresas, os normativos relacionados às sanções administrativas decorrentes de infrações à Lei Geral de Proteção de Dados Pessoais (LGPD) e metodologias que orientarão o cálculo do valor-base das multas, além da descrição da forma de comunicação de incidentes, incluindo prazos e formulários e o Regimento Interno da ANPD

– Fase 2, apresentam, por meio de resolução, a descrição e requisitos das atividades do encarregado de dados pessoais e orientações para realização de transferências internacionais de dados pessoais;

– Fase 3, tem-se a apresentação de um guia de boas práticas em relação às hipóteses de tratamento de dados pessoais; estabelecendo, através de resolução, os direitos dos titulares de dados pessoais. Diversos pontos merecem regulamentação, que tratará desses direitos, incluindo (mas não limitado) os artigos 9º, 18, 20 e 23 da LGPD.

Diante do acima mencionado, os temas seguirão por fases e a fase 1 está prevista para o primeiro semestre de 2021. Inclusive, a ANPD já apresentou seu regulamento interno em 10/03/2021 e abriu uma consulta pública para regulamentação sobre a notificação de incidentes de segurança nos termos do art. 48 da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais.

Neste momento, a ANPD estabeleceu considerações relevantes em relação ao tema comunicação e classificação de incidentes de segurança que violem dados pessoais. Estabeleceu-se que o prazo descrito no artigo 48 da LGPD seja definido com 2 dias úteis a contar da ciência do fato danoso, até que se encerre o processo de consulta pública e se estabeleça definitivamente o que seria o chamado “prazo razoável”, conforme descrito pelo legislador no respectivo artigo. Vejamos: “Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo […]”.

Além disso, em relação à forma de comunicação destes incidentes foi disponibilizado no próprio site da ANPD um formulário com alguns itens básicos para a respectiva notificação. Este documento contém orientações sobre o que fazer em caso de um incidente, servindo como guia enquanto não realizada a necessária regulamentação.

Para ter acesso ao processo de regulamentação sobre a notificação de incidentes de segurança nos termos do art. 48 da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais, acesse em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-inicia-processo-de-regulamentacao-sobre-incidentes-de-seguranca-com-tomada-de-subsidios

Nesse contexto, é importante que a ANPD construa limites claros que permitam distinguir incidentes de segurança que possam trazer risco ou dano relevante e que possam demandar providências adicionais daquela cuja ameaça, se houver, pode ser desconsiderada. Assim, é necessário ponderar sobre quais informações devem constar na comunicação, tanto ao titular de dados (que lhe sejam úteis para salvaguarda de seus direitos), quanto à ANPD, para avaliar o caso.

A agenda regulatória, que também lista ações de organização interna, foi aprovada pelo Conselho Diretor da ANPD em sua primeira reunião deliberativa, no dia 20/1. Para conhecer o conteúdo na íntegra, acesse a Portaria nº 11, de 27 de janeiro de 2021 disponível em: https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313.