Da escolha do DPO: momento adequado e competências necessárias

Com a sanção da Lei Geral de Proteção de Dados (LGPD) e sua entrada em vigor a partir de agosto de 2020, as empresas começam a se preocupar em escolher o Data Protection Officer ("encarregado", na dicção do legislador nacional), a fim de entregar em suas mãos o papel de, sozinho, deixar a empresa em conformidade.

Já aqui se pode fazer uma crítica à cultura corporativa de contratar um profissional para que ele, sozinho, resolva o problema. A adequação à LGPD será um trabalho longo, já que uma empresa só pode dizer que está conformidade com tal legislação quando ela e todos os seus fornecedores forem capazes de garantir a segurança dos dados de seus clientes. Além disso, o compliance com a LGPD demandará, acima de tudo, um trabalho conjunto de toda a empresa, desde o dono da empresa, passando pela diretoria até os funcionários que lidam diretamente com dados pessoais, por vezes, sensíveis e que, frequentemente, ainda não perceberam isso.

Dessa forma, de pronto já se pode dizer que o DPO será alguém cujas atribuições vão muito além das elencadas nos arts. 5º, VIII e 41, § 2º, LGPD. Antes de tudo, ele deve, conforme destacado por Lucas Maldonado Latini no seu artigo "Quem deve ser meu Encarregado/DPO? Eis a questão", ser alguém com profundo conhecimento da dinâmica da empresa e de seu pessoal, capaz, portanto, de se comunicar com os diversos setores. Pode-se inferir, desde já, que o advogado contratado para deixar uma empresa em conformidade com a LGPD não necessariamente será o DPO.

No que se refere aos conhecimentos necessários ao DPO, é recomendável que ele saiba não apenas a legislação aplicável e as jurisprudências pertinentes, mas também ao menos os fundamentos de TI bem assim de gerenciamento de pessoas/projetos. Em verdade, o DPO deve possuir formação em uma dessas áreas, e conhecimentos nas outras duas. Explica-se.

De nada adiantará ao DPO possuir sólidos conhecimentos da legislação pertinente, se ele nada sabe acerca dos mecanismos de proteção de dados pessoais, área atinente ao setor de TI, bem assim se é desprovido de conhecimentos básicos de gestão de pessoas e projetos, essenciais para uma implementação eficiente (com o menor custo), efetivo (entregando uma proteção de dados sólida aos seus clientes) e eficaz (dentro de um prazo razoável) de um projeto de compliance.

Outrossim, veja-se que um dos momentos do projeto de adequação à LGPD, a ser detalhado em escritos posteriores, é a implantação de um Comitê de Compliance, no qual devem estar representados os setores críticos da empresa, ou seja, os que lidam com dados pessoais, e o DPO, que, recomenda-se, deve presidir esse conselho. Quais setores devem estar representados dependerá da empresa com a qual se está trabalhando, bem assim do produto por ela entregue. Entretanto, dois setores imprescindíveis são o de TI e o de RH. O primeiro porquanto será ele que implantará as medidas de proteção de dados pessoais e o segundo, porque será o responsável pelo diálogo direto com os trabalhadores. Ora, o DPO de nada servirá em sua função primordial de decidir os rumos do projeto de adequação se ele nada entender acerca da linguagem de TI e do setor de RH.

Veja-se, além disso, que conhecimentos em RH contribuem para compreender metodologias eficientes de reunião, as quais serão detalhas em escritos posteriores.

Vale salientar, contudo, que o momento adequado à escolha do DPO dependerá do sentido do movimento de implantação de conformidade. Explica-se. Caso a diretoria da empresa tome a iniciativa de implantar um projeto de adequação, até pode-se, de pronto, designar um DPO, o qual, reitere-se, deve possuir boa circulação dentro da empresa, além de conhecimentos de TI, direito e gerenciamento de projetos.

Entretanto, caso a empresa não possua uma cultura de proteção de dados e contrate alguém para auxiliar na implementação de um programa de compliance, essa não deve ser a primeira preocupação. Antes, a diretoria deve facilitar o trabalho do advogado para que essa conheça com propriedade, o objeto de seus negócios, com vistas a identificar à incidência da LGPD, bem assim deve-se proceder a um mapeamento da empresa, com todos os seus departamentos, a fim de identificar aqueles que lidam com dados a serem protegidos.

Pelo exposto, pode-se aduzir que: a escolha do DPO não necessariamente será o primeiro passo a ser dado em um projeto de adequação à LGPD, o DPO não necessariamente será o advogado contratado para deixar a empresa em conformidade e, por fim, é recomendável que o DPO, além de possuir boa circulação dentro da empresa, tenha conhecimentos jurídicos, de TI e de gerenciamento de projetos/equipes.