PROGRAMA DE GOVERNANÇA EM PRIVACIDADE (LGPD)

Antes mesmo do início da sua vigência, a Lei Geral de Proteção de Dados – LGPD já despertava inúmeros debates em razão das profundas mudanças legais, procedimentais e culturais que ela apresenta às organizações e à sociedade em geral. Dentre as inovações, está a figura do Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”), ou Data Protection Officer – “DPO”, nomenclatura utilizada na Europa e que teve maior aceitação no Brasil.

De acordo com a LGPD, todas as organizações – até o momento, independentemente do porte – estão obrigadas a nomear um Encarregado pelo tratamento de dados pessoais para atender os titulares de dados, receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD, orientar os funcionários e contratados da organização e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Pela definição do artigo 5º, inciso VII, conforme alteração trazida pela Lei 13.853/2019, o Encarregado é a pessoa indicada pelo controlador e pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). E da forma como ficou a redação da lei é possível ser pessoa física ou jurídica, interna ou externa à organização.

Muitos acreditam que o DPO atuaria como uma espécie de ombudsman, que seria um indivíduo encarregado do estabelecimento de um canal de comunicação entre consumidores, empregados e diretores, mas muitas organizações, na prática, ultrapassam as definições previstas na LGPD e atribuem mais atividades ao DPO (Lima & Alves, 2021).

O artigo 41 da LGPD define que as organizações, desde a vigência da lei em 18 de setembro de 2020, tenham, de preferência em seus sítios eletrônicos, a identidade e as informações de quem é este encarregado:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

    • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

Neste artigo abordaremos alguns pontos essenciais sobre esse profissional fundamental para a governança em privacidade, bem como as vantagens de se contratar um DPO interno ou um DPO as a Service (terceirizado), tendo em vista que a LGPD não limitou esse tipo de contratação ou o perfil desse profissional.

A NECESSIDADE DE UM DPO

Vigente desde 18 de setembro de 2020, a LGPD ainda representa muitos desafios para organizações no que tange à adequação e compliance (demonstrar a adequação e acompanhar a governança em privacidade). Há pontos que necessitam de regulamentação por parte da ANPD, gerando dúvidas quanto às medidas necessárias para o efetivo cumprimento da lei.

Assim como previsto no General Data Protection Regulation – GDPR (regulamento europeu de proteção de dados pessoais), grande inspiração para a lei brasileira de proteção de dados pessoais, a LGPD prevê que as organizações, sejam elas controladoras ou operadoras, de natureza pública ou privada, contratem encarregado de proteção de dados pessoais (DPO), conforme previsão do artigo 5º, inciso VIII.

Vale indagar: por que o legislador incluiu essa obrigação no texto legal? O principal objetivo foi garantir que os titulares de dados pessoais, que possuem direitos e garantias previstos na LGPD, tivessem a quem solicitar quando fossem exercer esses direitos, ou seja: o DPO é um canal que garante a efetividade dos direitos do titular.

Claro que o DPO também tem outras atribuições e que vão muito além das previstas no §2º, do art. 41 da LGPD, mas esse papel de “ponte de contato” entre a organização e o titular de dados, bem como também junto à Autoridade, é muito importante para a efetividade da LGPD, uma vez que cabe ao DPO responder de forma satisfatória e clara ao titular sobre o tratamento dos seus dados pessoais.

A ANPD tem consultado a sociedade para melhor compreensão e orientação sobre a temática, sendo a primeira iniciativa pública para obtenção de contribuições referentes à tomada de subsídios a nº 01/2021 da nova regulamentação aplicável para microempresas e empresas de pequeno porte, incluindo as startups e empresas de inovação.

Neste quesito da tomada de subsídios da autoridade, ainda cabe aguardar se haverá alguma flexibilidade pela ANPD quanto à indicação de DPO pelas pequenas e médias e empresas, como previsto no art. 55-J, inciso XVIII da LGPD.

Enquanto não há essa flexibilidade, seja para alguns modelos de negócios, porte empresarial, faturamento, volumetria dos dados, todo tipo de organização precisa nomear um DPO. Trata-se de cumprimento de obrigação legal, da qual as organizações não podem se furtar, sob pena de estarem em desconformidade com a nova legislação.

QUEM PODE SER UM DPO

Similar ao GDPR, na redação inicial, a LGPD previa, em seu artigo 41, que o Encarregado deveria ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, porém, o tema foi objeto de veto à época, o que não impede que volte novamente à debate quando da regulamentação pela Autoridade ANPD:

A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.

Já a Constituição Federal prevê:

Art. 5º, XIII – é livre o exercício de qualquer trabalho, ofício ou profissão, atendidas as qualificações profissionais que a lei estabelecer”.

Como a LGPD não determina a qualificação necessária para a realização do trabalho, o agente de tratamento (contratante) é quem deve entender qual o melhor perfil para o seu Encarregado.

Fato é que: para ser DPO, não existe uma formação específica ou certificação obrigatória. Diante da complexidade das atribuições, é necessária muita atenção sobre o verdadeiro papel do DPO e habilidades são necessárias para as responsabilidades que lhe atribuídas no caso-a-caso.

Quando da análise das atribuições mínimas trazidas pelo artigo 41, § 2º, vislumbramos que para atender a estas atividades algumas habilidades são necessárias e há alguns perfis de profissionais que podem ter mais sinergia com o cargo/função de DPO ou facilidade de adaptação. Por isso, muitos dos profissionais que têm sido nomeados como DPOs nas instituições, em geral, tem alguma experiência nas áreas: jurídica, complicance, ciber segurança, TI, ouvidoria e/ou canal de atendimento (SAC).

2º As atividades do encarregado consistem em:

    I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

    II – receber comunicações da autoridade nacional e adotar providências;

    III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

    IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Importante observar que a lei de proteção de dados é uma estrutura para lidar com informações pessoais de forma justa e responsável e, portanto, afeta a maioria, senão todas as partes de uma empresa.

Na prática, o processo de adequação à LGPD e a continuidade da governança em privacidade são longos, isso porque: há complexidade de entendimento quanto aos processos internos, grande quantidade de dados (e, eventualmente, sensíveis), enquadramento de bases legais e princípios legais (finalidade, transparência e outros), implementação de medidas técnicas e organizacionais aos tratamentos realizados.

O DPO é a função responsável por pensar sobre o compliance à LGPD, considerando o titular dos dados pessoais e também o negócio, considerando o contexto da organização, os requisitos legais, técnicos e organizacionais e reunindo as pessoas certas para realizar o trabalho no tocante à governança em privacidade.

É importante que esse profissional tenha conhecimentos e competências sobre:

    • A LGPD e leis setoriais do segmento de atuação;

    • A legislação de outros países sobre proteção de dados;

    • A empresa e o seu modelo de negócio;

    • Boa comunicação interna e externa;

    • Governança corporativa, processos e segurança da informação.

De um modo geral, o DPO precisa conhecer o modelo de negócios da empresa e conciliar com suas habilidades e conhecimentos (soft e hard skills) para propor soluções que integrem a eficiência da empresa, o exercício dos direitos dos titulares de dados, acompanhamento da aderência à governança em privacidade, as tecnologias disponíveis para as soluções apresentadas e o atendimento à legislação (Lima & Alves, 2021).

A adequação à LGPD não pode ser contraditória à eficiência empresarial, inclusive porque um dos fundamentos que disciplina a proteção de dados pessoais é o desenvolvimento econômico e tecnológico e a inovação (art. 2º, V, da LGPD). O objetivo não é “matar” o modelo de negócio, mas adequá-lo à exigência legal, daí a necessidade de se conhecer a empresa e as atividades que ela realiza.

DPO INTERNO E DPO AS A SERVICE

Se a LGPD obriga as empresas a indicarem um DPO, alguns questionamentos podem ser levantados sobre esse novo cargo:

    – O DPO deve ser um colaborador da empresa ou profissional externo?

    – Pode ser pessoa jurídica ou somente pessoa física?

    – Se for funcionário da empresa, pode acumular funções?

    – A quem ele se reporta?

Na redação inicial da LGPD falava-se em pessoa física como DPO. No entanto, com a Medida Provisória nº 869/2018, que depois foi convertida na Lei nº 13.853/2019, essa especificidade “pessoa física” foi suprimida, mantendo-se apenas “pessoa”. Portanto, há o entendimento de que o cargo de DPO também pode ser ocupado por pessoa jurídica como escritórios de advocacia e consultorias especializadas em proteção de dados.

A LGPD não descreve a forma como a contratação pode- ou deve- ocorrer, a lei não exigiu que as empresas contratassem um empregado específico para atuar como DPO, como também não apresenta qualquer vedação quanto ao DPO ser um profissional de fora da organização.

DPO como Encarregado interno poderá auxiliar a empresa no projeto de adequação, constituição do grupo de trabalho e acompanhamento do programa de governança em privacidade.

Também pode ser a pessoa responsável pelo tratamento de respostas às solicitações que virão da ANPD, de titulares e operadores.

Terceirização, DPO externo ou DPO as a Service é a terceirização do trabalho, sendo apontada uma pessoa externa para atuar como encarregada perante a ANPD e os titulares dos dados pessoais. A prestação desse serviço pode compreender atividades diversas dentro do programa de governança em privacidade (art. 50, I, LGPD).

Tal hipótese é bastante utilizada na Europa[2] e já adotada no Brasil.

VANTAGENS E DESVANTAGENS DO DPO INTERNO

Nesta hipótese, o DPO é um colaborador, em geral sob o regime do contrato de trabalho sujeito às regulamentações da CLT e demais normas trabalhistas, e auxiliará a empresa no projeto de adequação e organização da governança em privacidade.

    • Um ponto positivo, e que pesa, a favor do DPO interno é o fato de já conhecer a empresa e o seu core business, detalhes da estrutura e as pessoas que estarão envolvidas no projeto. Esse conhecimento, por parte do DPO as a Service, precisa ser adquirido e assimilado, o que requer tempo. Como muitas empresas, sequer iniciaram seu processo de adequação, “eliminar” essa fase do projeto pode representar vantagem, dependendo do negócio, porte e tratamento de dados que são realizados.

    • Já a desvantagem do DPO interno é o custo mais elevado para a empresa porque além dos encargos trabalhistas, a empresa terá que investir na capacitação deste colaborador ou se já contar com um profissional capacitado, deverá aumentar a sua remuneração, já que esta deverá estar à altura para um profissional que já investiu na sua capacitação e nas responsabilidades inerentes ao cargo.

Outra questão é no tocante à independência e autonomia do DPO. Uma das características da relação de emprego é a subordinação. Apesar de não estar descrito na lei brasileira, a Europa exige explicitamente tal requisito, sendo que pode ser um desafio garantir a completa independência do DPO se ele for um empregado da empresa. E aqui já vamos aproveitar para falar sobre o acúmulo de funções do DPO e a quem ele se reporta.

A LGPD também não apresenta qualquer impedimento quanto ao DPO acumular funções, como também não dispõe sobre a necessidade de se evitar conflito de interesses. Já o GDPR permite a cumulação de funções desde que não haja conflitos de interesses e há casos de empresas europeias multadas justamente por não respeitar essa orientação.

Já a CLT dispõe que o acúmulo de função ocorre quando o trabalhador, além de sua função, exerce outras funções de outros cargos, de forma habitual, imputando ao trabalhador novas tarefas que exigem o exercício de atividade de qualidade superior ao do cargo contratado.

Há de ter cuidado nesse tópico incluindo nomeações internas, com adoção ou não de ajustes salariais. A empresa, por cautela deverá rever o contrato de trabalho com o indicado para a função de DPO, incluir e revisar as obrigações elencadas na LGPD e, se o caso do acúmulo de função apontado, remunerá-lo de acordo com as práticas de mercado para profissionais da área de proteção de dados.

A função de Encarregado demanda alto nível de exigência, governança e boas práticas, razão pela qual o acúmulo de função sem nenhuma contraprestação só o “ônus, sem o bônus” corre o risco de terminar com eventual questionamento na esfera trabalhista, ainda mais considerando a responsabilidade trazida com esta nova função.

VANTAGENS E DESVANTAGENS DO DPO AS A SERVICE

Mais uma vez, é possível buscar algumas referências internacionais no tocante à proteção de dados e privacidade. O Regulamento Europeu, por exemplo, no art. 37º, n.6, permite que o DPO seja uma pessoa empregada da controladora (responsável pelo tratamento), da operadora (subcontratante) ou exerça as suas atribuições com base em um contrato de prestação de serviços, ou seja, como um “DPO as a service”.

    • Uma das vantagens da terceirização, com o DPO as a Service, é que, em geral, ele tem um custo mais acessível para a empresa, já que os contratos podem ser firmados considerando um determinado quantitativo de horas mensais ou um valor fixo, para atendimento de demandas, conforme a necessidade.

Assim como em toda prestação de serviços, sem sujeição às leis trabalhistas, o serviço reger-se-á pela Lei n.10.406/2002- Código Civil.

Como já amplamente divulgado, a LGPD sofreu forte inspiração do GDPR e, por isso, acreditamos que nossa doutrina, jurisprudência e a própria ANPD baseará seus entendimentos e decisões no direito europeu de proteção de dados.

Nas guidelines do WP29 (atual European Data Protection Board – EDPB), há o entendimento de que o DPO não está sujeito à exclusividade de função, mas não poderá ser a mesma pessoa que exerça cargos de chefia ou de direção em determinados departamentos. possa exercer outras funções.

Pode também estar vedado o exercício de funções hierarquicamente inferiores na estrutura organizacional que determinem os propósitos e meios de processamento.

Assim sendo, recomendamos evitar o conflito de interesses nas atribuições do DPO, dando inclusive efetividade ao art. 50 da LGPD, no capítulo que dispõe sobre as boas práticas e governança. E aqui, identificamos outra vantagem do DPO as a Service.

    • Por outro lado, uma desvantagem que podemos citar quanto à contratação do DPO As a Service é o desconhecimento do modelo de negócio e cultura organizacional. Um programa de adequação a LGPD passa necessariamente por esse entendimento e uma pessoa externa levará um certo tempo para adquiri-lo, o que pode atrasar o projeto de adequação.

Além disso, o DPO tem a função de orientar as áreas da empresa quanto à contração ou desenvolvimento de novos projetos, produtos e serviços, isto é, a observância ao privacy by design e também auxiliar na conscientização dos colaboradores quanto à importância da proteção de dados e a dependência da empresa a um profissional terceirizado poderia não ser a solução mais adequada, principalmente no que se refere ao efetivo desenvolvimento de uma cultura de proteção de dados e privacidade alinhada ao modelo de negócio da empresa.

Um outro caminho, uma forma mista de atuação interno e externo seria a terceirização de parte do trabalho envolvido no contexto da proteção e privacidade, tendo em vista que são muitas variáveis no projeto de adequação à LGPD, bem como para a sua manutenção e continuidade.

Portanto, a terceirização auxiliará o DPO interno, atuando em complemento, seja para elaboração de assessment, contratos, interface com os titulares de dados e a ANPD, emitir pareceres, apoio e suporte na implementação do programa de governança em privacidade, entre outras atividades passíveis de terceirização na matéria.

Este modelo, contribui para o próprio desenvolvimento do DPO interno no que tange ao desenvolvimento de conhecimentos e habilidades para o exercício de suas funções. Deve-se considerar também que clientes e fornecedores podem entender que a nomeação de um profissional da própria estrutura da empresa, demonstra um comprometimento maior da organização com a proteção de dados, aumentando a confiabilidade e reputação no negócio.

Há vantagens e desvantagens na contratação do DPO, seja interno ou externo. Por isso, uma terceira via que tem se mostrado efetiva é o modelo híbrido, em que atuam conjuntamente o DPO interno com o suporte do DPO externo de maneira a compor o grupo de trabalho. Dependendo do porte da organização tem sido o formato mais adequado e que permite unir o melhor de cada abordagem (DPO Interno tem mais conhecimento do negócio e o DPO externo consegue ter um olhar com mais isenção e independência).

Não existe uma contratação mais correta ou adequada. Cada organização deverá avaliar qual modalidade de contratação é a mais aderente ao seu porte e recursos financeiros. No modelo Europeu é muito comum também o formato do “DPO Share” ou seja, compartilhado, dentro de um mesmo grupo econômico ou ainda em uma associação, dentre os associados.

Seja DPO interno ou as a Service, a equipe de profissionais deve estar capacitada para atuar como DPO, auxiliando nas diversas necessidades que a adequação à LGPD exige.

O ADVOGADO COMO DPO INTERNO OU DPO AS A SERVICE

Já discorremos sobre a necessidade que a empresa tem de nomear um DPO, quem pode ser DPO, as vantagens do DPO interno e do DPO as a Service, e agora vamos falar se há alguma restrição em se ter um advogado atuando como DPO[3] e quais são as vantagens quando este profissional possui mais conhecimento e expertise jurídica.

Conforme mencionado anteriormente, a LGPD não traz qualquer exigência quanto à formação do DPO e temos visto nas diversas oportunidades de trabalho divulgadas diariamente uma procura maior por profissionais da área de tecnologia e segurança da informação, em um movimento contrário ao da Europa em que a maioria dos profissionais contratados para exercer a função de DPO tem formação jurídica. Acreditamos que essa diferença decorre o próprio texto legal, uma vez que o GDPR, em seu art. 37,4 dispõe:

O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39º.

O texto original da LGPD, continha previsão similar ao GDPR quanto à obrigatoriedade em se ter conhecimento técnico e jurídico, o que foi retirado por meio da Medida Provisória nº 869/2018, convertida pela Lei 13.853/2019, que alterou a LGPD.

A razão do veto parcial do artigo 41º da LGPD foi que, com o texto original da LGPD, haveria ofensa ao direito constitucional de livre exercício da profissão ou cargo, bem como a interferência excessiva do Estado em atividades do mercado, sendo vetado pelo Poder Executivo e ratificado pelo Congresso Nacional.

Ora, se estamos falando em adequação das empresas a uma legislação, quem melhor do que um advogado para “traduzir” essa lei? Sim, o advogado contratado como DPO interno ou as a Service, com o conhecimento necessário para interpretar a lei e identificar os pontos de atenção e implementação, esclarecendo o que deve ser feito.

Sobre a cumulação de funções ou a proibição de advogados serem DPO´s, a LGPD não regulamenta e pode ser que a ANPD venha a esclarecer eventualmente a questão, porém, já foi possível verificar, quando da Medida Provisória n. 869/2018, que os Poderes Executivo e Legislativo não foram favoráveis quanto ao Estado intervir em questões específicas de profissões e condições de mercado.

Sobre o GDPR, há a permissão de cumulação do cargo de DPO com outros, segundo o artigo 38, n.6, desde que não haja conflito de interesses, sendo que o Conselho Regional de Lisboa (CRL) da Ordem dos Advogados analisou o tema no contexto se haveria conflito de interesses em advogados serem Encarregados de Proteção de Dados – EPDs/DPOs:

O EPD encontrar-se-á numa situação de conflito de interesses sempre que o exercício de uma determinada função possa comprometer a sua idoneidade para exercer as funções de EPD de forma imparcial.

Deste modo, o EPD não poderá exercer dentro da organização funções que envolvam a definição das finalidades ou dos meios de tratamento de dados pessoais, como também não poderá exercer funções que impliquem a aplicação das medidas técnicas e organizativas que forem necessárias para assegurar que os tratamentos de dados pessoais são realizados em conformidade com o GDPR.

Compreende-se que assim seja, na medida em que estas são obrigações que competem ao responsável pelo tratamento.

(Portugueses, Análise ao Parecer emitido pelo Conselho Geral da Ordem dos Advogados, 2019, p. 4).

Sobre o acúmulo de funções de DPO para advogados, o Conselho Regional de Lisboa (CRL) da Ordem dos Advogados orienta que é possível, mas que cada profissional deve buscar analisar a sua realidade e confirmar se não há conflito de interesses (Portugueses, Conselho Regional de Lisboa, 2019):

Fonte: Conselho Regional de Lisboa (CRL).

Sobre o acúmulo de funções de DPO e consultoria jurídica ou DPO e defesa contenciosa, por exemplo, para advogados, o Conselho Regional de Lisboa (CRL) da Ordem dos Advogados orienta que é possível, mas que cada profissional deve buscar analisar a sua realidade e confirmar se não há conflito de interesses.

O Grupo de Trabalho do Artigo 29 para a Proteção de Dados também esclarece que pode surgir um conflito de interesses se, por exemplo, um advogado representar (ou ter representado) um cliente (ou uma das partes) que seja controladora ou operadora perante os tribunais, no âmbito de processos judiciais e, em venha a atuar em algum momento como DPO as service-advogado de alguma delas.

Também é no mesmo sentido a orientação do Conselho das Ordens de Advogados da Europa (“Council of Bars and Law Societies of Europe” ou “CCBE”) (Lima & Alves, 2021):

“[um] advogado atuando na qualidade de DPO exigirá garantir a independência e evitar conflitos de interesse, especialmente aqueles conflitos que podem surgir por ser simultaneamente a pessoa de contato para a autoridade de proteção de dados (uma função que envolve obrigações de relatar a autoridade, mesmo que seja contra os interesses do controlador ou do processador), embora tenha também a obrigação de representar os interesses dos clientes em toda a extensão permitida por lei. Em vista deste potencial conflito de interesses, as Ordens dos Advogados podem recomendar para os advogados assumirem a responsabilidade de um DPO para um cliente externo apenas se eles não tiverem atuado como advogado em questões que não possam afetar as responsabilidades como DPO, bem como que não irão atuar, durante seu mandato como DPO, como advogado nas questões em que esteve ou estiver envolvido como DPO” (tradução livre – Council of Bars and Law Societies of Europe, 2017, p. 4).

Importante destacar que em muitas áreas os profissionais jurídicos têm se destacado e não há restrição para este exercício. Mesmo nas atividades dos escritórios de advocacia, tem crescido a atuação consultiva e preventiva.

Vale destacar que os projetos de governança em privacidade possuem abordagem consultiva, relacionada ao compliance à nova regulamentação da Lei n. 13.709/2018 e exige uma equipe multidisciplinar (Portal do Treinamento, 2020).

O ideal, seja DPO interno ou DPO as a service, é contar com um time híbrido que permita o desenvolvimento de atividades que demandam a análise técnica-jurídica, como: advogados, programadores, cientista de dados, DPO cyber com formação em ciber segurança. Isso ocorre nos projetos relacionados ao compliance LGPD, mas também relacionados à proteção de patentes, BigData, combate à fraude eletrônica, combate à fake news, entre outros, há também a colaboração da multidisciplinariedade desses profissionais para a análise de riscos e a elaboração de documentação técnica necessária para dar suporte ao diagnóstico e às recomendações jurídicas.

É comum, na prática jurídica, haver essa sinergia entre as diversas capacitações. Isso acontece, também, em outras áreas, como o advogado especialista em direito tributário conta com o suporte de equipe híbrida de contador e analistas financeiros, por exemplo.

Logo, não vislumbramos que as atividades relacionadas à prestação do serviço de DPO sejam enquadradas como atividade não jurídica, mas sim que há a necessidade de ter equipe técnica conjunta para apoiar a entrega da atividade de consultoria jurídica para a conformidade à LGPD e pelas características que a lei exige em termos de expertise, tanto em direito, como em ciber segurança.

Por último, importante destacar que a atividade jurídica pode ser consultiva, contenciosa, assim como também pode envolver a propositura de legislação, relacionamento com autoridades e, ainda, há o papel social da advocacia para fomentar mais conhecimento sobre as novas leis e exercício de cidadania e defesa de direitos humanos. E é possível na atividade jurídica valer-se do apoio, suporte, na equipe, de profissionais técnicos que deem suporte à atividade.

Foi justamente para evitar dúvidas sobre a atuação conjunta de equipes multidisciplinares na atividade jurídica que, em dezembro de 2018, o Conselho Federal da OAB editou o Provimento 188, que, em seu artigo 4º, diz que:

“poderá o advogado, na condução da investigação defensiva, promover diretamente todas as diligências investigatórias necessárias ao esclarecimento do fato, em especial a colheita de depoimentos, pesquisa e obtenção de dados e informações disponíveis em órgãos públicos ou privados, determinar a elaboração de laudos e exames periciais, e realizar reconstituições, ressalvadas as hipóteses de reserva de jurisdição.

Parágrafo único. Na realização da investigação defensiva, o advogado poderá valer-se de colaboradores, como detetives particulares, peritos, técnicos e auxiliares de trabalhos de campo”.

A COLABORAÇÃO DOS ADVOGADOS NA GOVERNANÇA EM PRIVACIDADE

Assim como o GDPR, a LGPD não estabelece limitação ou proibição à designação de advogados ou de profissionais da área jurídica a serviços que envolvam proteção de dados pessoais. O GDPR, ao contrário reforça a necessidade de o DPO ter conhecimentos jurídicos.

O DPO precisa ter a experiência necessária em legislação de proteção de dados, incluindo a necessidade de compreender um grande número de leis diferentes, regulamentos, orientações e processos judiciais de diferentes países, incluindo leis de privacidade e segurança da informação, violação de dados e leis de crimes cibernéticos, leis de proteção ao consumidor, leis trabalhistas e trabalhistas etc.

Listamos abaixo algumas atividades a serem exercidas pelo advogado-DPO:

    • Conscientização e treinamento através de palestras e workshops sobre privacidade e proteção de dados;

    • Entendimento da empresa e seu modelo de negócio;

    • Mapeamento e tratamento dos dados pessoais, identificando o ciclo de vida dos dados dentro da empresa, com a colaboração de profissionais técnicos em tecnologia, em projetos em segurança da informação, bem como as próprias pessoas que trabalhem nas áreas de negócio analisadas;

    • Caracterização legal das informações e dos conceitos que a lei apresenta como dados pessoais, dados sensíveis, dados de criança e adolescente em cada processo que envolva o tratamento de dados;

    • Orientação legal quanto ao papel de Controlador e Operador, auxiliando as empresas a identificarem em que momento atuam nesses papéis;

    • Análise, elaboração e ajustes de documentos e contratos, com a prevenção de riscos e indicação de mitigadores jurídicos, que podem reduzir potenciais prejuízos e desgastes comerciais às organizações;

    • Estudos e pareceres sobre transferência internacional de dados e compatibilidade entre a LGPD e leis internacionais;

    • Orientação quanto ao compartilhamento de dados pessoais;

    • Identificação das bases legais de cada atividade realizada;

    • Atendimento aos direitos do titular de dados estabelecidos na LGPD;

    • Observância aos princípios dispostos na LGPD;

    • Colaboração no desenvolvimento e atualização do Relatório de Impacto de Proteção de Dados Pessoais – RIPD, assim como com o auxílio de profissionais com outras habilidades, a depender do risco evidenciado;

    • Assessoria à alta administração e ao Comitê de Privacidade;

    • Elaboração de planos de comunicação (dentro da empresa, para a ANPD, aos titulares, imprensa, conforme o caso).

Ter um DPO com formação jurídica pode trazer inúmeras vantagens para a empresa, em razão da variedade de tarefas que a ele podem ser delegadas, porém, não podemos ser ingênuos ou irrealistas e acreditar que somente um profissional é capaz de cobrir todas as particularidades que a LGPD exige.

Os profissionais da área jurídica, com base em suas diversas habilidades, devem ser um bom ponto de partida para as organizações que buscam um novo DPO, dentro da disponibilidade de recursos e restrições financeiras.

Se não forem designadas como DPO, essas profissões devem, no mínimo, estar presentes como membros da equipe de DPO, para melhor garantir a conformidade com a LGPD.

A LGPD é multidisciplinar e o advogado-DPO, seja interno ou as a Service, deverá se alinhar com a TI, para juntos desenvolverem um projeto de adequação à LGPD, garantindo a continuidade do modelo de negócios da empresa e a proteção de dados dos titulares, além de interagir com as demais áreas da empresa como o Marketing, Recursos Humanos e as próprias áreas de negócios.

CONCLUSÃO

A LGPD trouxe um desafio para as empresas: legitimar seus processos que envolvem tratamento de dados pessoais sem colocar em risco seu modelo de negócios ou impedir inovações. Neste cenário, apresenta-se um ator fundamental – o Encarregado ou DPO – profissional a quem caberá auxiliar as empresas no cumprimento à LGPD.

A LGPD possui abordagem multidisciplinar, sendo que um bom “intérprete” sobre o que deve ser feito é o advogado. Limitar a atividade profissional do advogado nessa nova fase da nossa sociedade é deixar de observar o que prevê a nossa Constituição Federal.

Que os advogados possam continuar exercitando seus direitos de atividades de consultoria, assessoria e direção jurídicas também em projetos de adequação à LGPD e governança em privacidade, como já são prestados por escritórios de advocacia, com o apoio de consultorias em tecnologia da informação, ou vice e versa.

Dessa forma, a seleção acertada desse profissional, DPO interno ou as a service, é fundamental para as empresas tanto para o sucesso do projeto de adequação, quanto para mitigar ou evitar demandas judiciais por parte dos titulares de dados, por violação aos seus direitos, e sanções por parte do Judiciário e da própria ANPD.

REFERÊNCIAS

Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF

Conselho Federal da Ordem dos Advogados do Brasil. Provimento n. 188/2018. Disponível em: https://www.oab.org.br/leisnormas/legislacao/provimentos/188-2018

Conselho Regional de Lisboa (CRL). Disponível em: https://portal.oa.pt/ordem/regras-profissionais/estatuto-da-ordem-dos-advogados/ .

Council of Bars and Law Societies of Europe. Guidance on the main new compliance measures for lawyers regarding the General Data Protection Regulation (GDPR), 2017, p.4.

Emma Butler. Disponível em: https://iapp.org/news/a/two-pros-square-off-must-the-dpo-be-a-lawyer/

Lima, Adrianne. Alves, Davis (2021). Encarregados – Data Protection Officer – DPOs exigidos pela LGPD – Lei Geral de Proteção de Dados. São Paulo, São Paulo, Brasil: Haikai Editora. ISBN: 978-65-86334-88-3. Fonte: https://haikaieditora.com.br/produto/encarregados-data-protection-officer-dpo/

Party, G. d.-A. (05 de abril de 2017). Guidelines on Data Protection Officers (‘DPOs’) (wp243rev.01). Fonte: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Portal do Treinamento. Como diferentes profissionais podem contribuir no Programa de Governança em Privacidade. Disponível em https://www.linkedin.com/posts/portal-do-treinamento_data-protection-officer-activity-6716797729705611265–Clo

Portugal, O. d. (s.d.). Estatuto da Ordem dos Advogados. Fonte: https://portal.oa.pt/ordem/regras-profissionais/estatuto-da-ordem-dos-advogados/

Portugueses, C. R. (13 de fevereiro de 2019). Análise ao Parecer emitido pelo Conselho Geral da Ordem dos Advogados. Conselho Regional de Lisboa, 4. Fonte: https://crlisboa.org/docs/ParecerDPOvf1.pdf?fbclid=IwAR1HYqKpLOR4cnaxyfdip61tyub6sZ42PmCwzy1HCRG9ZFWEZ0UlV7U2oz4

Portugueses, C. R. (13 de fevereiro de 2019). Conselho Regional de Lisboa. (G. d. Presidência, Produtor) Acesso em 2020, disponível em Conselho Regional de Lisboa: https://www.oa.pt/cd/Conteudos/Artigos/detalhe_artigo.aspx?sidc=31634&idc=490&idsc=151216&ida=156457

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (General Data Protection Regulation). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT#d1e4426-1-1 – Consultado em 20.02.2021.

Shaw, Thomas. What skills should your DPO absolutely have? IAPP. Disponível em: https://iapp.org/news/a/what-skills-should-your-dpo-absolutely-have/

[1] Fonte: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Msg/VEP/VEP-288.htm

[2] Antigo Artigo 29 Working Party, validada pelo European Data Protection Board (EDPB). Fonte: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

[3] Neste artigo utilizamos sempre o termo “advogado” para facilitar a redação e leitura, mas deve-se entender que escritórios de advocacia também estão contemplados nessa referência.