Nomeando um DPO: Quem ? Que área ? Full-time ? Terceiro ?

Há cerca de um ano, publiquei um artigo aqui recomendando às empresas que não haviam ainda se movimentado para a conformidade com a LGPD que adotassem um DPO (Data Protection Officer) ou Encarregado de Dados. Minha motivação, em Setembro de 2020, foi a entrada em vigor da lei e, com ela, a possibilidade de as empresas serem acionadas judicialmente com base na lei. Agosto de 2021 chegou e, com ele, a possibilidade adicional de aplicação das sanções administrativas da autoridade governamental.

Um ano se passou e percebo que as empresas continuam travadas em seus projetos de adequação. Subestimaram o esforço e, principalmente, subestimaram o apetite de titulares de dados, órgãos de defesa do consumidor e sindicatos para denunciar irregularidades e buscar reparação. Já ouvi todo o tipo de alegação para não terem agido antes mas o fato é que, agora, trata-se de trocar o pneu furado com o carro em movimento.

Repito a dica de um ano atrás: se vc não havia feito pouco ou nada, até agora, em relação à LGPD, pelo menos adote um DPO. Pra ontem ! E por quê ? Porque antes de acionar uma empresa judicialmente ou se queixar à Autoridade Nacional (ANPD), a primeira coisa que os titulares de dados aborrecidos com sua empresa vão fazer será procurar pelo seu DPO, para colocar seus questionamentos; se a empresa não tiver ninguém explicitamente designado para receber e resolver essas demandas, elas certamente irão parar de imediato na ANPD ou no judiciário ! Ter um DPO será sua chance de resolver esse tipo de questão amigavelmente e sem a publicidade negativa que essas ações tendem a gerar. Além disso, diz o ditado que "tão importante quanto ser honesto, é parecer honesto". No contexto da LGPD, minha versão para esse dito popular é "Tão importante quanto estar em conformidade, será demonstrar que está agindo sobre as não-conformidades". Para o judiciário, demonstrar boa-fé é muito importante ! Ter os contatos do seu DPO no site da empresa é o primeiro sinal enviado ao público externo de que sua empresa está comprometida com a adequação à LGPD.

Mas qual o perfil ideal do DPO ? Que área deveria assumir esse papel ? Esse é um trabalho full-time ? Devo terceirizar essa função, ou não ? Para tentar responder a essas perguntas, ofereço algumas dicas para sua reflexão:

1ª - Tudo o que se fala e se lê a respeito do perfil da função é que ela deve ser multidisciplinar. Ao mesmo tempo, falamos em designar um profissional para exercê-la. Convenhamos, não existe esse profissional que entenda de leis, processos, sistemas, segurança da informação e cybersegurança, que possa dar conta de toda a gama de conhecimentos necessários. O que é necessário é que se tenha um profissional com conhecimentos de privacidade e proteção de dados e com capacidade de mobilizar especialistas que possam dar pareceres sobre questões técnicas, específicas, que surjam. Deve ter conhecimentos de Gerenciamento de Projetos também (mais sobre isso na 3ª dica). Alocar uma empresa para executar a função pode ser uma maneira mais eficaz e menos custosa de resolver o problema da multidisciplinariedade.

2ª - Para que a função possa executar seu trabalho, o DPO deve poder atuar com muita autonomia e independência (para poder mitigar conflitos de interesses entre áreas do negócio), deve possuir trânsito junto aos gestores dos processos que tratam dados pessoais (para poder acionar os conhecimentos necessários à resolução de questionamentos); e deve ter uma linha de reporte à Alta Administração, seja diretamente, seja através de um Comitê de Privacidade. Se a sua empresa possui uma área de Compliance, ótimo, pode ser uma boa solução, a depender de sua linha de reporte, pois a função deve ter um certo "galão". Do contrário, atribua a tarefa a uma área que não faça tratamentos de dados pessoais - isso exclui áreas como TI, RH, Marketing e Jurídico. A segregação de funções é um importante instrumento de controle: quem trata não fiscaliza e quem fiscaliza não trata. Ou terceirize a função, para não perder tempo discutindo tudo isso.

3º - Tenha em mente que, durante o seu esforço de adequação, projetos poderão estar sendo executados simultaneamente para ajustar processos, sistemas, contratos, políticas, controles, etc. Ao longo desse esforço, o DPO deverá fazer as vezes de Gerente de Projetos, um integrador, coordenando o andamento e as entregas de várias dessas iniciativas. Atingida a conformidade, essa necessidade diminui muito, mas será essencial ao longo do período de implementação.

4º - Como dito na dica anterior, o DPO é um integrador. Não só de conhecimentos e ações. Um de seus papéis mais fundamentais será o de integrar as pessoas a esse mundo novo, governado pela privacidade dos dados pessoais, esse novo mandamento da cultura empresarial. E isso demandará um trabalho intenso de comunicação e de conscientização, o que irá requerer do DPO uma boa dose de "soft skills" para atender o público externo e lidar com as situações de conflito que certamente deverão surgir ao longo da jornada.

Portanto, siga as dicas de quem já tem se dedicado a responder a essas e outras questões relacionadas à LGPD desde 2018: adote logo um DPO; ela(e) não vai ficar sem fazer nada ! Agir sobre as não-conformidades diagnosticadas - ou sobre as não-diagnosticadas - se tornou ainda mais urgente, desde Agosto.