O papel do DPO na demonstração de accountability da empresa

Denominado de encarregado pela Lei Geral de Proteção de Dados (LGPD) e de data protection officer (DPO) pelo Regulamento Geral de Proteção de Dados (GDPR), a figura desse profissional é essencial para a demonstração da responsabilidade da organização e accountability.

O encarregado, portanto, possui a dupla função de proteger os titulares e os seus direitos à proteção de dados e de assessorar a organização, seja controlador ou operador, dos riscos jurídicos, comerciais e reputacionais decorrentes do não cumprimento da lei.

A norma legal determina que o encarregado é responsável por receber reclamações e comunicações dos titulares e da ANPD, assessorar e orientar as organizações acerca da conformidade com a lei e a execução de atribuições determinadas pelo controlador ou que vierem a ser estabelecidas através de normas complementares.

A responsabilidade ética é o princípio fundamental da LGPD. E incumbe ao agente de tratamento a demonstração da adoção de medidas eficazes, capazes de comprovar a observância das normas de proteção de dados, consoante determina o artigo 6, X, do instrumento legal.

Nesse sentido, inobstante a ANPD recentemente ter publicado minuta de resolução sobre flexibilizações aos agentes denominados de pequeno porte, com base no disposto no artigo 41, §3, da norma legal, a referida minuta ainda está pendente de definição. E, por essa razão, neste momento não é possível abordar integralmente o assunto, o que não impede que possamos prever alguns cenários levando-se em conta as orientações internacionais e os estudos de casos provenientes da União Europeia.

Cabe registrar que mesmo aquelas organizações que se tornarem isentas pelas recomendações da ANPD terão a faculdade de optar por nomear um encarregado, tendo em vista que, sem sombra de dúvida, a existência desse profissional é de incontroversa importância para auxiliar no cumprimento das obrigações de conformidade à Lei Geral de Proteção de Dados.

Até porque a possível isenção na nomeação do encarregado não desobriga a empresa de fornecer canal de comunicação para que os titulares de dados logrem êxito em exercer os seus direitos elencados nos artigos 17 a 22 da LGPD.

No Brasil, após quase dois anos de vigência da LGPD, a expectativa é de que neste próximo ano haja um aumento da procura de profissionais que exerçam a função de encarregado. E, nessa linha, aponta o estudo recente da International Association of Privacy Professionals (IAPP), denominado "Relatório de Governança em Privacidade da IAPP-FTI", que estimou que a lei recentemente implementada exigirá 50 mil encarregados apenas no Brasil [1].

Sendo assim, cada vez mais é inconteste a relevância do papel do encarregado como um facilitador do processo de adequação à proteção de dados. E, lembrando que a proteção de dados é um direito fundamental no Brasil e que a função do encarregado consiste em assegurar o direito à proteção de dados dos titulares, é possível concluirmos que a nomeação desse profissional por parte da empresa aumenta o nível de confiabilidade da organização e ilustra, na prática, a responsabilidade ética e accountability exigidos pela lei.

Portanto, acreditamos que, conforme cresçam a maturidade da cultura da proteção de dados no Brasil e o melhor entendimento das vantagens de investimentos direcionados à mitigação de riscos como diferencial comercial do modelo de negócio, maior será a procura por profissionais qualificados para exercerem a função de encarregado.

[1] https:iapp.org/resources/article/iapp-fti-consulting-privacy-governace-report-2020/