Dentre os muitos desafios trazidos pela LGPD, como planos de adequação, elaboração de relatórios de impacto, mapeamento dos dados pessoais tratados, etc., as empresas ainda precisarão se preocupar com a nomeação de uma peça-chave no âmbito da proteção de dados: o Encarregado de Proteção de Dados ou Data Protection Officer (DPO).
Essa figura passou por diversas mudanças desde a sanção da Lei em agosto de 2018. Na primeira versão da LGPD, o encarregado/DPO deveria, obrigatoriamente, ser uma pessoa física indicada somente pelo controlador, que atuaria como canal de comunicação entre o controlador e os titulares e a autoridade nacional de proteção de dados (ANPD).
Após a edição da Medida Provisória 869, em dezembro de 2018, admitiu-se que o encarregado/DPO poderia tanto ser uma pessoa física quanto jurídica (uma organização ou até mesmo um departamento interno), seguindo o que determina o GDPR (Regulação Europeia de Proteção de Dados). Em dado momento das discussões dessa Medida Provisória, chegou-se a incluir a exigência de o encarregado/DPO possuir conhecimento jurídico-regulatório em Proteção de Dados Pessoais, o que foi posteriormente vetado pelo Presidente da República.
Finalmente, após a conversão da Medida Provisória 869 na Lei 13.853, que levou à consolidação da LGPD em julho de 2019, decidiu-se que o encarregado/DPO deverá ser uma pessoa física ou jurídica (organização, terceirizado, departamento interno, etc.), a ser nomeada tanto pelo controlador quanto pelo operador de dados pessoais, que atuará como canal de comunicação entre os agentes de tratamento, os titulares dos dados e a ANPD (artigo 5º, VIII, da LGPD).
A partir daí, quando achávamos que a discussão sobre o encarregado/DPO finalmente havia chegado ao fim, teve início um outro debate que passou a trazer a seguinte indagação: qual é o(a) profissional mais indicado(a) para assumir o cargo de encarregado/DPO? Basicamente, passou-se a trabalhar com três possibilidades: advogados(as), profissionais de T.I ou compliance officers.
Os que passaram a defender que advogados(as) especializados(as) na área de Proteção de Dados seriam a melhor opção alegam que esses(as) profissionais têm um profundo conhecimento na Lei e uma interpretação que garantiria maior segurança jurídica às empresas. De outro lado, os que defendem que o encarregado/DPO deveria ser um profissional de T.I afirmam, em resumo, que a familiaridade com programações levaria ao desenvolvimento de aplicações já seguindo padrões de segurança e privacidade nos termos da LGPD. Por último, mas não menos importante, aqueles que afirmam serem os compliance officers a melhor opção, dizem que o fato de esses(as) profissionais já terem familiaridade com projetos de adequação à legislação anticorrupção, bem como com questões regulatórias, levaria a uma melhor adequação das empresas à LGPD. E, então, teve início uma espécie de “cabo de guerra”, onde cada lado passou a defender com unhas e dentes o porquê de uma classe ser mais qualificada que a outra para assumir o cargo de encarregado/DPO.
Nesse passo, apesar de saber das excelentes competências que cada um desses profissionais tem, a resposta para a pergunta sobre “qual é o(a) profissional mais indicado(a) para assumir o cargo de encarregado/DPO” é: TODOS. OU NENHUM.
E agora você pode se perguntar: “mas, Lucas. Você está maluco? Me fez ler o texto até aqui para não chegar em conclusão nenhuma?”. Calma! Vou explicar…
Acima de ser um(a) profissional da advocacia especializada, de T.I ou de compliance, o encarregado/DPO deve ser um(a) ótimo comunicador(a). Pois é, caro(a) leitor(a). Esse é o “único requisito” que a LGPD exige do encarregado/DPO, justamente por ele(a) funcionar como o canal de comunicação entre os agentes de tratamento, os titulares dos dados e a ANPD.
E vou além! Mais do que uma boa comunicação com os titulares de dados pessoais e a ANPD, o encarregado/DPO, seja do jurídico, T.I ou compliance, deve ter uma ótima comunicação interna, com excelente entrada em todos os departamentos da empresa e com ótimo relacionamento interpessoal (porém sempre com “pulso firme”). Tudo isso justamente porque ele(a), além de auxiliar na implantação de uma cultura de privacidade junto aos colaboradores, precisará, a todo momento, do suporte dos demais setores para elaborar respostas às solicitações da ANPD, relatórios de impacto à proteção de dados e cumprimento das demais obrigações que a LGPD impõe.
Sobre isso, costumo brincar dizendo que se o Sílvio Santos entendesse de LGPD, seria o melhor encarregado/DPO que existe, justamente por ser um dos maiores (senão o maior) comunicadores do Brasil.
No fundo, o(a) encarregado/DPO, independentemente de sua origem profissional, vai funcionar como uma espécie de “maestro”, orquestrando e organizando essa maravilhosa sinfonia que é a proteção de dados pessoais dentro de cada corporação. Dessa forma, o encarregado/DPO precisará se comunicar, ao mesmo tempo, com o jurídico, com o marketing, com o RH, com o financeiro.
Portanto, na minha opinião, discutir se o(a) encarregado/DPO deve ser um(a) advogado(a), profissional de T.I, compliance officer ou de qualquer outra origem é, definitivamente, discutir o sexo dos anjos. Escolher o encarregado/DPO pela profissão original de quem ocupará esse cargo em cada empresa funciona como um tiro no escuro: pode-se acertar na mosca ou errar por muito! Assim, o mais importante é fazer uma escolha de um(a) profissional qualificado, independentemente da origem, que atenda às necessidades da empresa e, principalmente, que tenha uma excelente comunicação.
Lucas Maldonado Diz Latini é advogado especialista em Direito Digital e Propriedade Intelectual pela Fundação Getúlio Vargas, sócio do escritório Maldonado Latini Advogados e Presidente da Comissão de Direito Digital e Compliance da 17ª Subseção da OAB/SP.