Lei exige que qualquer empresa que armazene ou manipule dados conte com esse profissional.

Faz anos que democratização da internet se tornou uma realidade mundial. A cada dia que passa confiamos mais nela para muitas das soluções básicas do nosso cotidiano, como pedir um transporte, fazer compras, conversar, entre tantas outras atividades. Um dos efeitos dessa mudança cultural é que muitas empresas passaram a armazenar um número significativo de dados sobre seus clientes e colaboradores. E para evitar vazamentos que possam levar ao uso malicioso dessas informações foi criada uma nova profissão no mercado: o Data Protection Officer (DPO). 

Chamada no Brasil de Encarregado, sua atuação é prevista pela Lei Geral de Proteção de Dados (LGPD) (2020). A legislação nacional traz ao cenário empresarial brasileiro a exigência desse novo profissional, ou de uma assessoria empresarial, que será encarregada pela gestão empresarial da LGPD. 

Na prática, a LGPD aponta duas funções primordiais ao Encarregado:

  • Realizar a interlocução com a agência nacional reguladora (ANPD – Agência Nacional de Proteção de Dados).
  • Ser o responsável pela comunicação, gestão e tratamento de dados dos titulares.

No entanto, pode haver outras atribuições e possibilidades de atuações por esse profissional, como realizar auditorias, criar políticas internas para auxiliar nas práticas de governança, analisar riscos e contribuir para a tomada de decisões estratégicas de negócio, entre outras.

No Brasil, até o momento, não foram determinadas em que situações haverá restrição na atuação do Encarregado. No entanto, sabe-se que ele poderá ser um funcionário contratado pela empresa e que tenha o compliance de proteção de dados, ou mesmo um profissional autônomo. Uma outra possibilidade é a contratação de uma empresa terceirizada especializada na prestação desse serviço. 

Multas podem chegar a 2% do faturamento.

Uma das determinações mais importantes da LGPD diz respeito ao seu alcance dentro do universo empresarial brasileiro. Na realidade, o documento não apresenta distinção, por exemplo, entre um pequeno comércio local e uma multinacional. Com isso, entende-se que, independentemente do porte, toda e qualquer empresa que armazene e manipule dados pessoais de clientes e colaboradores deve contar com o suporte do Encarregado. 

Isso significa que o mercado nacional deve se abrir a atuação desse profissional capaz de identificar o grau de importância dos dados tratados pela empresa, conscientizar colaboradores e implementar políticas de governança interna capazes de evitar infrações judiciais. Vale lembrar que as multas para negócios que cometerem deslizes podem chegar a 2% de seu faturamento, desde que não ultrapasse a casa dos R$ 50 milhões. Ou seja, um risco bastante alto para não ser levado a sério. Resumidamente, para se adequarem as obrigações legais, evitarem prejuízos financeiros consideráveis e se manterem competitivas frente ao mercado, as empresas brasileiras terão de buscar soluções junto a esses profissionais capacitados.

Cargo exige conhecimento multidisciplinar 

Por se tratar de uma função nova, ainda não se sabe ao certo como as companhias estão buscando a figura do Encarregado. Mas, ao olharmos com atenção para a legislação, percebe-se que seu desenvolvimento seguiu três pilares fundamentais: a governança, a gestão e a transparência dos dados. E, essa tríade conceitual, por si só, já responde boa parte da pergunta que vem tomando as discussões entre os gestores dessas empresas: quem deve ser o encarregado da proteção de dados?

Alguns argumentam que o Encarregado deveria ser um profissional da área jurídica, enquanto outros acreditam que alguém de T.I. desempenharia melhor a função. Há também quem defenda a ideia de profissionais de operações ou de compliance como as melhores opções para o posto. Outro profissional bastante cogitado nos bastidores das organizações são os CTOs (Chief Technology Officers) e os profissionais da área de Segurança da Informação.

O certo é que, de acordo com a LGPD, o encarregado pelo tratamento de dados pessoais dentro das organizações poderá ser pessoa física ou jurídica. E esse cenário acabou chamando a atenção de consultorias, de escritórios de advocacia, entre outras empresas, que perceberam uma grande oportunidade de novos negócios nos próximos anos. 

Outro ponto da legislação nacional que chamou a atenção diz respeito a competência do Encarregado. Na Europa, o DPO deve ter um elevado grau de independência, com acesso irrestrito e direto à alta direção da companhia, além de estar sujeito a compromissos de confiabilidade. Lá, a figura do DPO também não poderá estar em situação de conflito de interesses. Já no Brasil, as definições para as atribuições do cargo não foram tão rigorosas. 

Conforme a legislação nacional, as funções do Encarregado são:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados sobre as normas de proteção de dados pessoais.
  • executar as demais atribuições determinadas pela empresa ou normas complementares.

No entanto, no entendimento da Doutorize, o profissional que melhor irá desempenhar essa função será aquele que conseguir reunir uma série de conhecimentos multidisciplinares, e somá-los à habilidade de encarar os desafios cotidianos de organizações em plena transformação cultural e de modelo de negócio. 

Dentro desse panorama, acreditamos que o Encarregado precisa, necessariamente, se mostrar um profissional capaz de conhecer e interpretar a legislação, de lidar com órgãos governamentais como a Autoridade Nacional de Proteção de Dados (ANPD), ter noção de T.I. e segurança da informação, bem como fluência em assuntos de compliance e governança. Além dessas habilidades específicas, a função exige que ele ainda conheça a operação da empresa na qual prestará serviço. Por fim, ele deve ter capacidade de usar todos esses conhecimentos para assumir uma posição de destaque dentro da companhia e conduzi-la a essa nova era, na qual a informação é vista como o ativo mais valioso do negócio. E, por isso, deve ser efetivamente protegida.

Patric Chagas,
redação Doutorize.