segunda-feira, 25 de janeiro de 2021

MIGALHAS DE PESO

Publicidade

Terceirização do encarregado - Muito além do DPO as a service

Rony Vainzof

Sem dúvida, diante da sua relevância e responsabilidades, a nomeação do DPO é um desafio a ser cumprido, seja pela amplitude temática ou conhecimento multidisciplinar inerente a atividade.

segunda-feira, 27 de janeiro de 2020

t

Em outubro de 2019 já ponderei que a Governança é o epicentro da jornada de Compliance em Proteção de Dados Pessoais, pois a pedra de toque em qualquer plano de adequação à LGPD é o desenvolvimento, implantação e manutenção perene da estrutura de Governança em Privacidade e Proteção aos Dados Pessoais.

Mas não há como desenvolver tal estrutura sem a criação e o chancelamento da área que cuidará do tema nas empresas.

A LGPD pecou ao ser extremamente rasa justamente na figura central da governança, o Encarregado (Data Protection Officer - DPO), que deverá ser indicado pela empresa, com identidade e informações de contato divulgadas publicamente, de forma clara e objetiva, preferencialmente em seu portal, com as seguintes responsabilidades, previstas em lei:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O GDPR, de forma muita mais densa, em razão da importância do cargo, prevê que o DPO é designado com base nas suas qualidades profissionais e, em especial, no seu conhecimento jurídico especializado e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as seguintes funções:

  • Informar e aconselhar a empresa e seus colaboradores que tratem dados pessoais a respeito das suas obrigações;
  • Controlar a conformidade com o GDPR e demais normas aplicáveis, incluindo o compartilhamento de responsabilidades, a sensibilização e formação dos profissionais que sejam competentes por operações de tratamento de dados;
  • Avaliar e aconselhar, quando pertinente, acerca dos relatórios de impacto;
  • Cooperar e ser o ponto de contato com as autoridades competentes.

A figura do DPO, conforme o GDPR, é tão relevante que deve contar com autonomia e independência, sendo vedada cumulação de funções que resultem em conflito de interesses.

São deveres dos agentes de tratamento, quanto ao DPO, de acordo com o GDPR:

  1. Fornecer os recursos necessários ao desempenho de suas funções e à manutenção do seu conhecimento;
  2. Franquear acesso aos dados pessoais e às operações de tratamento;
  3. Não interferir no exercício de suas funções;
  4. Não demitir ou penalizar o DPO no exercício regular de suas funções;
  5. Garantir que o DPO reporte e responsa diretamente a direção no seu mais alto nível.

Sem dúvida, diante da sua relevância e responsabilidades, a nomeação do DPO é um desafio a ser cumprido, seja pela amplitude temática ou conhecimento multidisciplinar inerente a atividade.

A LGPD prevê que a nomeação do DPO é obrigatória para os controladores e a Autoridade Nacional deverá estabelecer normas complementares sobre a sua definição e atribuições, inclusive hipóteses de dispensa da necessidade de sua indicação, o que é cogente.

Assim, mediante uma análise contundente, principalmente, da natureza e do porte da organização, do volume e da criticidade das operações de tratamento de dados, bem como da avaliação do cumprimento das melhores práticas, a utilização de serviços externos de DPO, que vão muito além da possibilidade do DPO as a Service, podem se apresentar como uma potencial solução para dar vazão ao epicentro da jornada de conformidade à LGPD, que, como já dito, é a governança.

Vejamos algumas das diversas possibilidades:

1) Apoio na estruturação e na contratação de DPO interno

a) Definição da posição do DPO: visa auxiliar a empresa a definir em qual estrutura organizacional o DPO deve ser inserido, além de suas atribuições e alçadas de decisão, visando garantir a sua independência e ausência de conflito de interesses.

b) Apoio na contratação do DPO: visa fornecer os insumos necessários à área de Recursos Humanos para contratação do DPO.

c) Mentoria para o DPO: visa preparar o DPO para exercer todos os aspectos de sua posição.

2) DPO as a Service

A terceirização do DPO consiste em apontar uma pessoa jurídica para assumir esta função perante a autoridade nacional e aos titulares dos dados pessoais.

Ao assumir esta posição, o prestador de serviço conduzirá uma série de atividades junto à empresa para que o Programa de Privacidade ganhe efetividade prática, incluindo mas não se limitando a:

  • Gestão do Programa de Privacidade
  • Atualização periódica do Data Mapping
  • Opinar e monitorar os Relatórios de Impacto à Proteção de Dados Pessoais
  • Dar efetividade a gestão das respostas às requisições dos titulares
  • Apoiar no desenvolvimento de projetos
  • Monitorar e fiscalizar a conformidade
  • Treinar e comunicar visando a conscientização plena de todos os envolvidos
  • Monitorar novas regulamentações da LGPD e normas setoriais;
  • Relacionamento com a ANPD

Nesse caso, conforme orientação do antigo Art. 29 Working Party, validada pelo European Data Protection Board (EDPB), por uma questão de segurança jurídica e para evitar conflitos de interesse, recomenda-se, no contrato de serviço, uma disposição clara de todas as tarefas que serão exercidas pelo DPO as a Service, assim como designar um indivíduo como contato principal no prestador de serviço e a pessoa "responsável" do cliente.

3) Apoio ao DPO

Aplicável para a empresa que decidiu pela nomeação de um DPO próprio, mas em razão do volume de trabalho ou a falta de recursos (tempo, ferramentas, entre outros) o impossibilite de realizar todas as atividades que a função exige, como:

  • Apoio na implantação de sistemas para gestão do Programa de Privacidade
  • Apoio técnico-jurídico no desenvolvimento de novos projetos que envolvam dados pessoais
  • Apoio nos Relatórios de Impacto à Proteção de Dados Pessoais
  • Implantação e condução do Comitê de Privacidade
  • Treinamento de colaboradores
  • Relacionamento com a Autoridade Nacional de Proteção de Dados
  • Simulação para garantir o funcionamento do plano de resposta à incidentes
  • Atuação em incidentes de violação de dados pessoais
  • Monitoramento de leis e normas

4) Conselheiro - Comitê de Privacidade

Caso a organização possua um DPO, porém, a maturidade de seu Programa de Privacidade ainda é menor que o desejado, a composição do Comitê de Privacidade com um profissional externo, com maior experiência no assunto, pode auxiliar na tomada de decisões e na condução das discussões.

Por fim, é importante ponderar que referidas terceirizações podem funcionar também de forma temporária, como gatilho para o estabelecimento inicial da área interna de governança em proteção de dados, ao menos até que a organização consiga seguir sem ajuda externa.

__________

t*Rony Vainzof é advogado sócio do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, professor e árbitro, especializado em Direito Digital e Proteção de Dados.

Atualizado em: 27/1/2020 11:20

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca

Publicidade