Um cargo chamado “DPO”

Com a implementação da Lei Geral de Proteção de Dados Pessoais (LGPD), prevista para vigorar em todo o território nacional a partir de 16 de agosto de 2020, surge um novo e importante requisito a ser observado por empresas e organizações que processam dados pessoais: a indicação do encarregado, também conhecido como Data Protection Officer – ou simplesmente DPO.

Trata-se de disposição mandatória da LGPD a ser cumprida por qualquer controlador de dados pessoais e que somente poderá ser dispensada por meio de normas complementares da Autoridade Nacional de Proteção de Dados (ANDP), de acordo com a natureza e o porte da empresa e/ou o volume de dados processados.

Portanto, qualquer organização que realize tratamento de dados pessoais (conforme definição trazida pelo artigo 5º, inciso X, da Lei nº 13.709/18) deve nomear um DPO, que poderá ser uma pessoa física ou jurídica, e deverá ser identificado pelo controlador de forma pública, preferencialmente em seu website, por meio da divulgação dos dados de contato do DPO (p.ex., e-mail e telefone).

A despeito da importância do cargo, a LGPD não é exauriente com relação às credenciais do DPO e às funções a serem por ele desempenhadas. A boa prática sugere que esse oficial possua conhecimento abrangente das leis e demais regulamentos atinentes à matéria “proteção de dados pessoais”, estando apto a responder a todos os eventuais questionamentos dos titulares de dados e da ANPD.

Ainda, para cumprimento adequado de seu cargo, é recomendável que o DPO tenha ampla compreensão acerca da estrutura técnica e organizacional da empresa processadora de dados e habilidade de gerenciamento de funcionários, com o objetivo de interagir tanto com o staff, em todos os níveis e hierarquias, quanto com a ANPD.

O texto da LGPD estipula que o DPO deverá:

• supervisionar, auditar e administrar o cumprimento da Lei pela empresa ou organização da qual faz parte ou a quem presta serviços, para que trate adequadamente as informações pessoais de seus funcionários, clientes, fornecedores ou quaisquer outros indivíduos que tenham seus dados pessoais integrados à cadeia de processamento da empresa.
• criar as políticas internas do controlador relativas à LGPD, orientar e treinar seus funcionários e contratados, fiscalizar o seu cumprimento.
• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar as providências necessárias para o seu atendimento; executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A LGPD não trata da responsabilidade do DPO, uma vez que não incumbe a ele nem a tomada de decisão quanto ao tratamento do dado pessoal, nem o tratamento em si. Seu papel é de prevenção, para estimular e fiscalizar o cumprimento da LGPD e cumprir as obrigações que lhe são determinadas pelo controlador, que é quem detém as informações pessoais e o poder de decisão sobre o tratamento que a elas será dispensado. Assim, desde que o DPO atue de acordo com as orientações do controlador e observe as normas da LGPD (e, supletivamente, do Código Civil), não poderá ser responsabilizado por danos causados ao titular do dado, ao controlador e/ou a terceiros.

A despeito de algumas incertezas que ainda pendem sobre a posição criada pela LGPD, um ponto é certo: na era em que dados pessoais são tão valiosos que muitos modelos de negócios e economias são atualmente construídos em torno de sua coleta, processamento, uso e compartilhamento (dentre outras formas de tratamento), a função do DPO se desenvolverá rapidamente como um ofício imprescindível para empresas de todos os setores, especialmente frente aos possíveis incidentes que controladores e operadores de dados pessoais poderão enfrentar num futuro próximo.

*Por Mariana Amorim Arruda e Felipe Leoni Carteiro Leite Moreira, associados de Rayes & Fagundes Advogados Associados