Há cerca de dois meses publiquei um artigo aqui no blog do Studio Estratégia com o título “Encarregado de Dados – Quais as competências e certificações realmente necessárias ao profissional?”. Mesmo trazendo uma visão prática da função, ainda restam dúvidas se seria possível um colaborador acumular as atividades inerentes a função do DPO às suas atividades atuais.
Este artigo realizará uma breve análise do cenário de atuais colaboradores mantendo suas funções e assumindo as funções inerentes a um DPO. Abordarei entre outros pontos, a segregação de funções, conflito de interesses, transparência, sigilo e, claro, ética.
Contexto
Impossível tratar este tema sem fazer uma comparação com o regulamento Europeu, General Data Protection Regulation – (EU) 2016/679, que foi utilizado como base para a criação da lei Geral de Proteção de Dados brasileira (Lei nº 13.709/2018, LGPD).
Como já comentei em outro artigo “Registro das Operações de Tratamento de Dados Pessoais – LGPD e ROPA”, é sempre importante levar em consideração o direcionamento dado pela Dra. Miriam Wimmer, Diretora do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), que, em entrevista ao PhD Fernando Antônio Santiago Jr, comentou sobre o risco da realização da interpretação literal da LGPD, sem entender o contexto internacional que gerou a GDPR. Segundo Miriam, “É desejável que a gente busque guardar coerência com estes paradigmas, muito embora nossa redação possa dar ensejo a outros tipos de interpretação”.
Vamos Pensar Juntos?
Para começar, diferentemente do regulamento europeu, no Brasil, as competências e responsabilidades do Encarregado de Dados (como chamamos aqui o “DPO” – Data Protection Officer), são mais simples e demanda o menor rigor. Entretanto, isto não isenta que o conflito de interesses deva ser evitado, por uma questão de isenção, compliance e, porque não, ética.
Portanto, seguindo o sugerido pela Dra. Miriam Wimmer, lhe convido a fazer um exercício buscando coerência com os paradigmas já amadurecidos da GDPR, sobre a segregação de funções, evitando o conflito de interesses.
Função do DPO sendo Exercida por um Profissional do Departamento Jurídico
Apesar do acúmulo de funções e/ou conhecimentos facilitar na execução de atividades, como na atribuição de bases legais e harmonização legal, normalmente, na prática, DPO e advogado não possuem conhecimentos multidisciplinares, principalmente experiência em Segurança da Informação, tema primordial para quem vai atuar na função.
Além disso, o profissional jurídico, até por sua formação, costuma utilizar termos jurídicos difíceis para leigos entenderem, muito longe da linguagem coloquial e de acolhida que a função necessita.
Função do DPO sendo Exercida por um Profissional do Departamento de Tecnologia ou do Departamento de Segurança da Informação
Antes de mais nada, precisamos ser honestos com nós mesmos e partir do pressuposto que a maior parte das empresas brasileiras não possuem um departamento específico para Segurança da Informação. Apesar de serem atividades bem diferentes e com normas e frameworks próprios, a baixa maturidade no assunto e/ou falta de recursos financeiros e priorização para investimento, faz com que o departamento de Tecnologia da Informação (TI) assuma parte das tarefas que deveriam estar em um departamento específico de Segurança da Informação.
Diferentemente do profissional da área jurídica, seria mais fácil um profissional de perfil mais técnico vindo de um desses departamentos buscar os conhecimentos específicos sobre as legislações de privacidade de dados e correlatas, comprovando seu conhecimento técnico através de certificados reconhecidos pelo mercado.
Porém, a falta de profissionais de tecnologia, mais especificamente TI, no mercado mundial e no Brasil, faz com que os profissionais desta área estejam normalmente sobrecarregados em suas funções. Portanto, dificilmente teriam tempo para se dedicar a questões específicas de privacidade.
Outro agravante na segregação destas funções é a questão do orçamento que, ao ser compartilhado pelo mesmo profissional, teria que dividir orçamentos cada vez mais enxutos entre as demandas dos demais departamentos por inovação e os investimentos de privacidade advindos da LGPD, o que muitas vezes pode ser conflitante e trazer pressão das demais áreas para o quesito inovação, obriga o DPO a não atender as necessidades de privacidade.
Importante ressaltar, também, que da mesma maneira que o profissional jurídico possui um linguajar próprio, o profissional de TI normalmente possui um pouco de distanciamento do linguajar de processos organizacionais. Nesse caso, o profissional de Segurança da Informação tem um vocabulário mais adequado para função de DPO, pois seu trabalho é focado no negócio e não especificamente em tecnologia.
Função do DPO sendo Exercida por um Profissional do Departamento de Compliance
O profissional de Compliance teria que buscar os conhecimentos dos departamentos acima (Privacidade, Tecnologia e Segurança da Informação). Portanto, o fato de ele não possuir sólida experiencia prévia nos temas tecnologia e segurança da informação fará muita falta para função.
Mais uma vez, levando em consideração a orientação da Dra. Miriam Wimmer, vamos recorrer a um dos fatos ocorridos em 2020 com relação à GDPR: Após um incidente de segurança, a Autoridade Belga realizou investigação sobre as práticas de uma empresa de telefonia local em matéria de proteção de dados e concluiu pela impossibilidade de acumulação das funções de DPO com as de Chefe de Risco, Auditoria e Compliance, pois resultava em conflito de interesses. Segundo a análise efetuada, não há como o DPO realizar uma supervisão independente das atividades se ele mesmo é responsável pelas rotinas de compliance que demandam tratamento constante e relevante de dados pessoais.
A falta de segregação de funções foi entendida como um “significante grau de negligência” e a empresa foi multada em 50 mil euros.
Função do DPO sendo Exercida por um DPO Externo
A opção mais clara para atender a segregação de funções e conflito de interesses é o DPO Externo.
Ao escolher um DPO externo, tão importante quanto o perfil multidisciplinar é o perfil consultivo e de auditoria que permita identificar proativamente falhas processuais e realizar recomendações alinhadas ao negócio, frameworks de mercado e, claro, as legislações em vigor.
A experiência do profissional como DPO também conta muito, afinal, o regulamento europeu (GDPR) foi aprovado em abril de 2016 e, após um período de transição de dois anos, entrou em vigor em maio de 2018. Portanto, estamos falando em um período de entendimento em torno de 3,5 e 5,5 anos. Mesmo no caso do Brasil, a LGPD passou a vigorar em setembro de 2018, sendo assim, já temos 3 anos de vigência da lei, tempo suficiente para um DPO profissional ter se aprofundado e aprimorado nos requisitos práticos da sua atividade.
A adequação à LGPD envolve questões de Processos, Tecnologia e Pessoas. Por conseguinte, procurar profissionais com experiência prática no tema pode ser decisivo na mitigação de riscos não apenas de sanções, multas e processos judiciais, mas, também, para evitar o engessamento de procedimentos e processos administrativos e/ou produtivos ou, até mesmo, a paralização do negócio.
Sugiro, também, que seja firmado em contrato que o DPO responsável não atenderá duas empresas exatamente do mesmo ramo de atividade, evitando, entre outros fatores, o conflito de interesses e compartilhamento de informações privilegiadas, já que o DPO terá acesso a todas as atividades da organização, incluindo projetos futuros.
Por fim, vale lembrar que a questão do perfil do profissional, embora importantíssimo, não extingue a necessidade da formação de um comitê de suporte ao encarregado, afinal a adequação precisa estar alinhada ao negócio.
Posicionamento do DPO dentro da Estrutura Organizacional
Para o posicionamento do DPO Externo dentro da estrutura organizacional, sugiro a leitura de um artigo do colega Alex Amorim, em que este faz uma análise do posicionamento do DPO levando em consideração o conceito do COSO e das suas 3 linhas de defesa.
Praticamente todas as empresas que atendemos, o DPO responde ao mais alto cargo da organização, CEO, Presidente ou Diretor geral.
Nesses casos, para tender a questão da governança da privacidade e resolver o problema de agenda da direção máxima da organização, criamos um Sistema de Gestão de Privacidade de Dados (SGPD) bem estruturado, onde existem grupos de trabalhos operacionais com determinadas autonomias e funções e o Conselho de Privacidade de Dados, que possui autonomias maiores, como aprovação de Políticas e Procedimentos, resolução de problemas e tomadas de decisões de alto nível.
Em um modelo simples, para não engessar a companhia, estabelecemos critérios claros de análise de risco para os casos que devem ser submetidos à decisão de hierarquias superiores, como Conselhos, Comitês específicos de Risco ou ao próprio Presidente, CEO, ou dono da empresa.
Conclusão – LGPD com Segregação de Funções é uma Questão Ética
A ética não é o politicamente correto e, muito menos, um conjunto de respostas prontas, a ética lhe possibilita ter liberdade garantindo a liberdade do outro.
Na empresa, a ética é o conjunto de valores e princípios que ela utiliza para nortear a conduta de seus colaboradores para às escolhas da organização. Logo, não é algo imutável e atemporal, não é algo absolutamente pronto.
A LGPD traz à legislação brasileira, a figura do Encarregado de Dados (DPO) que terá, entre outros desafios, o de harmonizar no DNA da companhia pontos muitas vezes contraditórios, como o “sigilo” e a “transparência”.
Os códigos de conduta empresariais precisam ser não apenas atualizados, mas permanecer atuais, garantindo que a real essência da companhia e sua percepção de ética estejam realmente claras e que a dosagem de transparência e sigilo estejam estabelecidos.
Se a segregação de funções não existir na definição do DPO, não será possível mitigar o conflito de interesses e os norteadores supracitados não poderão ser perfeitamente definidos e introduzidos na cultura da empresa. Como o conflito de interesses não respeitará nem a transparência nem o sigilo, ele não é ético.
Sempre digo a meus alunos que ética precisa ser vivida pela empresa e seus colaboradores. Ética é como tomar banho, precisa ser todos os dias, pois se faltar, vai cheirar mal, e uma empresa com colaboradores sem ética é uma empresa sem ética.
3 respostas