por Filipe Fonteles Cabral
02 de outubro de 2021
compartilhe
Abriram as cortinas, agora é para valer. No último dia 1º de agosto de 2021 entraram em vigor as multas e demais sanções administrativas previstas na LGPD – Lei Geral de Proteção de Dados Pessoais. No palco, sob holofotes, estão os Data Protection Officers –profissionais exigidos pela nova Lei, seguindo padrões internacionais de governança de privacidade, mas que em solo brasileiro vêm recebendo um tempero especial – e isso não é necessariamente ruim.
Os Encarregados de Proteção de Dados (Data Protection Officers, no jargão importado, ou simplesmente DPO) são profissionais responsáveis por temas de proteção de dados pessoais nas organizações (seja uma sociedade empresária ou órgão público). São eles que recebem e encaminham reclamações de titulares de dados pessoais, interagem com a ANPD – Autoridade Nacional de Proteção de Dados, orientam funcionários e implementam as políticas internas de privacidade, dentre outras atribuições.
Na prática internacional, esse papel é desempenhado por profissionais com profundo conhecimento em questões de privacidade, tanto sob o aspecto jurídico quanto tecnológico, pois as duas matérias convergem quando o assunto envolve o tratamento de dados pessoais. É uma categoria profissional que surgiu há cerca de duas décadas (a International Association of Privacy Professionals – IAPP, maior entidade do setor, foi fundada em 2000), que reúne pessoas 100% dedicadas ao estudo e à prática da matéria, tamanha a responsabilidade de seus ofícios e a necessidade de constante atualização.
No Brasil, um cenário curioso é observado: nos elencos corporativos, a função do DPO vem sendo delegada a antigos funcionários, em geral líderes de áreas como Jurídico, TI ou Compliance, que passam a cumular a nova posição com suas antigas atribuições. São profissionais com alto gabarito, mas com pouca ou nenhuma experiência em proteção de dados pessoais, salvo cursos feitos a toque de caixa.
Não se ignora que muitas corporações optaram por contratar serviços profissionais de DPO prestados por escritórios de advocacia ou consultorias especializadas, ou incorporaram em seus quadros funcionais profissionais certificados e com dedicação exclusiva, mormente em setores que lidam com grande fluxo de dados em seu core business. Todavia, salta aos olhos o número de DPOs constituídos como “soluções caseiras”, executando funções diversas, em estruturas empresariais de médio e grande porte.
Com a entrada em vigor das penalidades da LGPD, no dia 1º de agosto, a qualquer momento esses profissionais passarão pelo escrutínio de atentos avaliadores, que agem em nome da coletividade ou em causa própria, incluindo a Autoridade Nacional de Proteção de Dados, o Ministério Público Federal, a SENACON e, claro, os mais de 200 milhões de brasileiros titulares de dados pessoais.
A ansiedade é grande e compreensível. A LGPD prevê multas de até R$ 50 milhões, suspensão do uso de bases de dados e, em casos mais brandos, advertências. Tem-se notícia do ajuizamento de centenas de ações judiciais que versam sobre proteção de dados pessoais antes mesmo de as penalidades entrarem em vigor, o que torna inequívoco o risco empresarial do tema.
Nesse cenário de novidades e incertezas, o intervalo do café nos boards executivos traz a pergunta: acertamos na escolha do nosso DPO? A resposta é sim.
Em um país culturalmente apegado ao improviso e socialmente resistente a normas formais, o local player poderá ter mais chances de sucesso do que o outsider na implementação efetiva da governança de proteção de dados pessoais. Aqui, a experiência que fará a diferença é o conhecimento dos processos internos e a empatia com os líderes de áreas, mais do que o domínio dos artigos da LGPD.
Naturalmente, tais DPOs de última hora precisarão se valer da experiência jurídica e técnica de terceiros no exercício de suas atividades. Devem, sem dúvida, se socorrer de profissionais de mercado capazes de acompanhar em tempo real as novas resoluções da ANPD, os entendimentos judiciais que começam a ser formados e as boas práticas de governança desenvolvidas em âmbito internacional. Mas, no final do dia, a mudança cultural precisará ser conduzida na organização de maneira efetiva, pois de nada adiantam políticas e processos revisados que não sejam utilizados na prática.
Privacidade é coisa muito séria e como tal deverá ser tratada, sob pena de sanções severas e risco reputacional incalculável. Os instrumentos de governança de proteção de dados pessoais não são de prateleira. Devem ser testados, adequados à realidade da corporação e revisados periodicamente. Tudo isso com o apoio de experts, mas por conta e ordem de quem conseguirá internalizar tais mudanças.
Formamos, assim, um profissional digno de aplausos. O DPO com ginga brasileira.