Etapa essencial no processo de adequação das empresas à Lei Geral de Proteção de Dados Pessoais (LGPD) é a nomeação de um Encarregado, usualmente referido pelo mercado como Data Protection Officer – DPO. A designação de um colaborador interno para desempenho dessa função muitas vezes não é eficiente, o que motiva empresas a contratarem assessores externos para tal, em especial escritórios de advocacia; prática que recentemente foi chancelada pela Ordem dos Advogados de Brasil de São Paulo – OAB/SP.
Dentre as responsabilidades do DPO, destaca-se a intermediação entre o titular de dados pessoais, o controlador (i.e., as empresas em benefício das quais os dados pessoais são tratados) e a Autoridade Nacional de Proteção de Dados – ANPD. Mais do que um mero canal de comunicação, o DPO é responsável por orientar como a empresa deve se posicionar quando um titular exerce um direito previsto na lei, ou mesmo quando da ocorrência de um incidente de segurança, os famosos “vazamentos” de dados pessoais.
Atualmente, todas as empresas sujeitas à LGPD são obrigadas a nomear um DPO. Ainda não há qualquer exceção, seja pelo seu porte, faturamento ou volume de negócios. As informações de identidade e contato do DPO devem ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site da empresa. A ausência de indicação de um DPO, ou a mera não divulgação dessas informações constitui violação à LGPD, sujeitando os infratores às penalidades administrativas da lei.
Como essa é uma função estratégica para garantia do compliance, recomenda-se que a pessoa designada seja dotada de algumas competências como: (i) conhecimento sobre leis que versam sobre privacidade e proteção de dados pessoais, não se limitando à LGPD; (ii) conhecimento sobre normas técnicas relacionadas à segurança da informação; (iii) olhar multidisciplinar e capacidade de comunicação com diversos setores dentro da empresa; e (iv) didática para conduzir treinamentos de conscientização, outra responsabilidade expressamente prevista na LGPD.
Para ocupar essa posição, as empresas podem capacitar colaboradores internos, internalizar novos profissionais ou mesmo contratar assessores externos. A LGPD admite, inclusive, a contratação de pessoas jurídicas para tanto, o que o mercado convencionou chamar de DPO as a Service (DPOaaS). Essa prática tem ganhado destaque entre os escritórios de advocacia boutique, por apresentar as seguintes vantagens:
· Maior qualidade na atuação do DPO, decorrente da contratação de um serviço altamente especializado;
· Redução de custos de folha, tanto com o pagamento de encargos trabalhistas e previdenciários, quanto com a capacitação periódica do profissional, como decorrência da terceirização do serviço;
· Maior estabilidade e previsibilidade para a empresa, na medida em que funcionários internos podem optar em deixar o seu cargo, enquanto relações com escritórios boutique tendem a ser mais duradouras;
· Eliminação do risco de potencial contingência trabalhista, também decorrente da terceirização do serviço; e
· Eliminação do risco de conflito de interesses pelo acúmulo de funções, prática esta que já sujeitou uma empresa europeia ao pagamento de multa imposta pela Autoridade Nacional da Bélgica.
Recentemente, a contração de boutiques no regime de DPOaaS ganhou novo apoiador de peso. No âmbito do Processo nº E-5604/2021, a 1ª Turma do Tribunal de Ética e Disciplina da OAB/SP emitiu parecer pela legalidade e adequação da atuação de escritórios de advocacia como DPO. O Tribunal entendeu que como a LGPD não estabelece qualquer restrição, os advogados podem, seja de forma autônoma ou em sociedade, prestar o serviço de encarregado, sem qualquer vedação ética. Para tanto, reconheceu ser importante a capacidade do DPO designado de interagir com equipes multidisciplinares. A decisão reforça a boa prática já reconhecida pelo mercado.
Nosso escritório está à disposição para fornecer esclarecimentos adicionais sobre o tema, bem como sobre demais questões envolvendo privacidade e proteção de dados pessoais.
Comments