- A FIGURA DO ENCARREGADO DE DADOS OU DPO (DATA PROTECTION OFFICER)
Um dos temas mais debatidos atualmente em relação a Governança da estrutura de proteção de dados no país, diz respeito a figura do encarregado de dados, bem como, onde deve ser alocada a área responsável pelo tratamento dos dados. Este breve ensaio, tem por objetivo organizar um pouco as idéias sobre o tema, bem como, permitir sua “tropicalização” sem os sobressaltos decorrentes de interpretações desconexas de nossa realidade e daquilo que efetivamente pretende a Lei Geral de Proteção de Dados.
A LGPD, inspirada no regulamento europeu sobre proteção de dados pessoais (General Data Protection Regulation – GDPR)[1], estipulou a necessidade de as empresas indicarem a figura de um encarregado responsável pelos tratamentos de dados pessoais:
“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.”
O encarregado, que por influência da legislação europeia é comumente conhecido como Data Protection Officer (DPO), possui função primordial, dentre elas, o importante papel de atuar como um facilitador na comunicação entre empresas, titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)[2], para bem cumprir sua função de monitoramento interno do Sistema de Privacidade de Dados.
Para desempenhar este papel, o Encarregado de Dados será o responsável por conduzir atividades vinculadas ao recebimento das reclamações encaminhadas pelos titulares de dados, prestando os devidos esclarecimentos em prazo razoável; receberá as comunicações emitidas pela ANPD, adotando todas as medidas necessárias para o seu gerenciamento interno; bem como deverá emitir orientações para os colaboradores da empresa em relação às boas práticas de proteção de dados pessoais.[3] Deve ainda, supervisionar as vulnerabilidades de segurança nos dados pessoais em todo ciclo de vida dentro da organização, com o objetivo de garantir a conformidade de todas as coletas, tratamentos e eliminações dos dados pessoais realizadas, reportando à Alta Administração eventuais inconformidades e adequações dos processos que se façam necessárias, com o objetivo de atender às exigências da LGPD em relação à proteção e privacidade de dados.
Para além disso, com o objetivo de facilitar a interação entre os todas as partes envolvidas, a LGPD determina que a identidade e as informações do Encarregado sejam amplamente divulgadas, de maneira clara e objetiva[4], sendo possível que esta divulgação ocorra no sítio eletrônico ou nos instrumentos contratuais firmados com os titulares e fornecedores/parceiros, sem prejuízo de outras práticas que ampliem esta publicidade.
Em relação aos atributos profissionais do Encarregado, recomenda-se, em especial, o conhecimento das leis e boas práticas de proteção e privacidade de dados.[5] O nível de conhecimento sobre o tema deve ser estabelecido de acordo com a quantidade e complexidade das operações de tratamentos realizadas pela empresa, bem como do nível de proteção exigido para estes processos. Para além disso, deve estar totalmente familiarizado com o funcionamento das tecnologias utilizadas pela empresa e das particularidades relacionadas ao setor no qual a companhia está inserida, visando garantir a efetiva adequação dos tratamentos realizados por meio do estabelecimento de processos de supervisão e auditoria que busquem falhas nas políticas, normas e processos.
É crucial, portanto, que o encarregado e sua equipe estejam envolvidos em todas as questões relacionadas à proteção e privacidade de dados, desde o estágio inicial de criação de um novo produto, serviço ou processo, até sua efetiva conclusão ou estruturação, com o objetivo de que a cultura de proteção dados e o princípio de privacy by design[6] sejam disseminados dentro da organização.
Neste sentido, para o sucesso do Sistema de Privacidade de Dados é importante que o encarregado seja entendido como um parceiro de discussão dentro da organização e que possua comunicação direta com os grupos de trabalho que estejam vinculados a atividades de processamento de dados.
Por ser responsável por gerenciar o Sistema de Privacidade de Dados, é essencial que o DPO defina e acompanhe o cumprimento de estratégias para gerir os dados da empresa, incluindo a definição de políticas, diretrizes, papéis, responsabilidades e processos relacionados à gestão de dados. Neste aspecto, deve identificar problemas, buscar oportunidades, propor iniciativas e monitorar as ações vinculadas ao tratamento dos dados, com o objetivo de auxiliar no alcance da maturidade e segurança pretendidos.
Quanto ao aspecto de Governança da Privacidade dos dados, a LGPD fomenta a formulação de boas práticas, o estabelecimento de políticas, ações educativas, identificação e mitigação de riscos. Para atender tais requisitos, o DPO deve difundir as boas práticas voltadas à proteção dos dados pessoais por meio de palestras e informativos (impressos ou eletrônicos) que demonstrem a mudança cultural que se espera dentro da organização, enaltecendo a importância do Sistema de Privacidade de Dados.
As políticas e processos de proteção aos dados pessoais deverão estar adequadamente dimensionados aos riscos de privacidade previamente identificados na empresa. Quanto maior a priorização destes riscos, definida com base nas escalas de probabilidade e impacto anteriormente descritas na política de gestão de riscos da empresa, mais rígido deverá ser o monitoramento do DPO e o controle em relação à efetividade dos planos de ação implementados no processo.
Mas talvez uma das perguntas mais recorrentes é se a figura do Encarregado deve ser exercida pelo corpo técnico interno da empresa, ou se esta atividade pode ser “terceirizada” e em que termos? A resposta é simples, a empresa pode designar como DPO um colaborador interno ou contratar um DPO externo para o exercício desta função, podendo, ainda – nesta hipótese de “terceirização” da atividade – optar entre a contratação de uma pessoa física ou jurídica. Ao eleger a nomeação de um colaborador interno, é essencial que não haja conflito de interesse entre os papéis já desempenhados e as novas funções diretamente relacionadas ao papel de DPO, ou seja, o DPO não deve governar o controle de dados e ao mesmo tempo definir por quais meios os dados serão processados. Como regra geral, posições conflitantes com a figura do encarregado incluem cargos de gerência sênior, como diretor executivo, diretor operacional, diretor financeiro, diretor de marketing, diretor de recursos humanos ou diretor de TI.
Recomenda-se que a função de DPO seja exercida dentro da denominada segunda linha, sugerindo-se como boa prática estruturas como Diretoria ou Gerência Jurídica, Diretoria ou Gerência de Compliance ou Integridade ou, ainda, Diretoria ou Gerência de Controles Internos, uma vez que as habilidades inerentes à estas áreas serão extremamente úteis na comunicação a ser estabelecida com a Autoridade Nacional de Proteção de Dados, aspecto central das responsabilidades do Encarregado, evitando-se possíveis conflitos de interesse no desempenho das demais funções já exercidas na empresa.
A recomendação justifica-se, pois é indispensável que a escolha considere um colaborador (interno ou externo) que compreenda as exigências estabelecidas na lei e que tenha habilidades de aplicá-las na organização, além de ser alguém que possua as ferramentas de relacionamento interpessoal e de comunicação necessárias para se tornar um “consultor” confiável da empresa, um verdadeiro ponto focal do diálogo interno sobre proteção de dados, devendo, portanto, ser visto por todos os colaboradores como um aliado essencial na busca pela conformidade dos negócios em relação à proteção e a privacidade de dados.
Importante mencionar que a recomendação acima representa, diante da ausência de regulamentação específica sobre a matéria pela Autoridade Nacional de Proteção de Dados, um direcionamento das melhoras práticas de governança corporativa, lembrando que outras estratégias, como nomear o DPO dentre colaboradores vinculados a áreas operacionais da empresa (áreas da primeira linha), poderia ensejar eventual conflito de interesses entre as funções já realizadas e as novas atribuições vinculadas ao papel de Encarregado de Dados. De qualquer forma, como o possível conflito de interesses deve ser analisado no caso concreto, ainda que não recomendado segundo as melhores práticas,a indicação de um colaborador interno pertencente a primeira linha para ocupar o cargo de DPO, deve assegurar a ausência de conflito de interesses, para que seja possível se cogitar – frise-se, a depender do caso concreto – a oportunidade desta nomeação.
Contudo, parece evidente que o colaborador vinculado a área responsável pela gestão de Tecnologia da Informação (ou assemelhada) não poderia ocupar esta função, pois como o Encarregado deverá apontar eventuais adequações sistêmicas ou falhas e melhorias de segurança de informação, haveria potencial conflito de interesses decorrente do simples exercício direto da atividade desempenhada; é dizer, não se poderia cogitar que o DPO tivesse as funções de fiscalizar a área de TI e ser fiscalizado ao mesmo tempo[7].
2. A ESTRUTURA DE GOVERNANÇA DE DADOS: UMA DEFINIÇÃO NECESSÁRIA
Ultrapassadas as atribuições e competências do Encarregado de Dados, bem como, uma análise de a qual estrutura deveria pertencer o DPO em sendo eleito internamente, relevante definirmos onde deveria estar alocada a estrutura responsável pela governança de dados, que, muito embora decorrência quase lógica das definições estabelecidas em razão da figura do DPO, com ela não se confunde.
Neste sentido, o Institute of Internal Auditors (IIA), que é uma entidade sem fins lucrativos, reconhecida nacional e internacionalmente, recentemente apresentou declaração de novo posicionamento sobre o modelo de governança corporativa pautado nas denominadas “Três Linhas”, responsáveis pelo gerenciamento de riscos e controles da organização, que estão intrinsicamente vinculadas ao Sistema de Privacidade de Dados.
A gestão de riscos e os controles internos são ferramentas de prevenção e mitigação de incertezas. Dentre estes riscos há, naturalmente, o risco à privacidade e proteção de dados. Tais riscos são amplamente analisados e discutidos durante as atividades de estruturação do Sistema de Privacidade de Dados, tendo em vista que a materialização de suas consequências podem implicar aplicação de sanções pela Autoridade Nacional de Proteção de Dados (ANPD), dentre as quais multa de até 2% do faturamento da empresa limitadas a 50 milhões de reais, suspensão do exercício da atividade de tratamento dos dados pessoais, danos à imagem institucional, danos financeiros, processos administrativos e judiciais, entre outros.
De acordo com o IIA, o modelo das Três Linhas consiste na segregação de funções específicas de gerenciamento de riscos e controles internos de diferentes agentes da empresa, levando em consideração as atividades e o papel que exercem, permitindo, de forma eficiente, a delegação de responsabilidades dentro da organização.
A primeira linha, de acordo com a Declaração de Posicionamento do IIA[8],deve ser composta pelos gestores operacionais, que são os donos do risco e consequentemente responsáveis pela manutenção dos controles que visam à mitigação destes (o que denomino de autocontrole). Desta forma, a primeira linha realiza a aplicação prática das políticas e procedimentos internos criados pelo Sistema de Privacidade de Dados, bem como as demais normas e controles internos que visam o gerenciamento de riscos na empresa no exercício e execução da operação.
A segunda linha realiza a supervisão dos riscos e, portanto, são áreas que executam o monitoramento do exercício da atividade executiva e de (auto)controles aplicados pelas áreas vinculadas à primeira linha. Atividades como controles internos, gestão de riscos e compliance e integridade são típicas da segunda linha. A estrutura responsável pela implantação e manutenção do Sistema de Privacidade de Dados, chamada de estrutura de Proteção de Dados, integra a segunda linha e é – como regra – gerenciada pelo Data Protection Officer(DPO) da empresa, com possível apoio do Comitê de Proteção de Dados (a depender da estrutura de governança de dados da companhia).
Diante da incumbência das áreas pertencentes à segunda linha em fiscalizar e inspecionar as atividades fins e operacionais da empresa, é indispensável para a imparcialidade e lisura no exercício de suas atribuições que possuam independência funcional. Desta forma, o reporte deve ser realizado diretamente à Alta Administração, uma vez que seria incompatível e incoerente uma área dirigida à fiscalização também estar sujeita à ingerência da própria área fiscalizada.
A independência funcional das áreas pertencentes à segunda linha não diz respeito somente ao reporte, mas também a liberação de acessos a sistemas, documentos e processos internos da empresa para eventuais averiguações de desvios de conduta e desconformidade às normas de proteção de dados, bem como para a realização do monitoramento contínuo das atividades de tratamento e eliminação dos dados pessoais.
Por fim, no que diz respeito à terceira linha, esta é composta pela auditoria interna, área também independente, responsável por promover avaliações sobre a eficácia da governança, do gerenciamento de riscos e dos controles internos.
A área de auditoria interna é a última instância de fiscalização interna, sendo a responsável por analisar a conformidade na atuação das áreas da primeira e segunda linha. Deste modo, seriaincompatível a alocação da estrutura responsável pelo Sistema de Privacidade de Dados junto a Auditoria Interna, visto que esta fiscaliza aquela e é que, deve ter condição de, dentro dos controles e tratamentos realizados e acompanhados nos planos de ação, direcionar eventuais distorções existentes no sistema de controle interno.
A terceira linha, em decorrência da natureza de suas atividades de avaliação da eficácia da governança, do gerenciamento de riscos e dos controles internos executados pela primeira e segunda linha, também necessita de independência para atuação, sendo este um requisito indispensável para o exercício imparcial das suas atividades. Assim, a independência exigida para o desempenho das atividades da terceira linha é ainda maior em comparação com a independência esperada da segunda linha.
De acordo com o IIA, as três linhas se reportam à Alta Administração, conforme figura abaixo:
Figura 01: Modelo de Três linhas do IIA 2020, Uma atualização das Três Linhas de Defesa, 2020, p. 4
Considerando as peculiaridades relacionadas à proteção e privacidade de dados em um ambiente no qual a segurança das informações é primordial para atender às exigências da Lei Geral de Proteção de Dados, resta evidente à adequação da área de privacidade de dados ao modelo trazido pelo IIA e, neste sentido, inclusive, algumas adaptações são possíveis dentro do modelo das Três Linhas, com a inclusão da figura do DPO, por exemplo, veja-se:
(The Federation of European and Risk Management Associations (FERMA) and the European Confederation of Institutes of Internal Auditing (ECIIA), At the junction of corporate governance & cybersecurity, 2017, p. 12)
(The Federation of European and Risk Management Associations (FERMA) and the European Confederation of Institutes of Internal Auditing (ECIIA), GDPR and Corporate Governance The Role of Internal Audit and Risk Management One Year After Implementation, 2019, p. 21)
No contexto acima apresentado e consubstanciando a proposta deste breve ensaio de aproximação da figura do DPO e da estrutura de proteção de dados às boas práticas de Governança, a referida estrutura e o encarregado, encontram-se localizados na segunda linha, por serem responsáveis pela avaliação dos riscos relacionados à proteção e privacidade de dados da organização. Em apoio ao DPO, a estrutura de Proteção de Dados deverá monitorar os riscos, as legislações pertinentes ao tema e os processos de tratamento de dados da organização, colaborando com a primeira linha a fim de garantir a continuidade do negócio e o apropriadoprivacy by design.
O modelo de boas práticas de governança sugerido pelo IIA apresenta a Alta Administração e os Órgãos de Governança (Conselhos e Comitês) desvinculados das três linhas, ou seja, os membros desses órgãos recebem o reporte das atividades executadas pelas três linhas, para deliberação. Neste sentido, recomenda-se que a estrutura de Proteção de Dados emita reportes diretos à Alta Administração[9], para que, em decorrência das atividades que deverão ser exercidas pelo DPO, seja garantida a independência e autonomia das decisões a serem tomadas para efetividade do Sistema de Privacidade de Dados.[10]
Segundoas orientações emitidas pela Article 29 Working Party (WP29)[11] sobre os Data Protection Officers (DPO’s), devem ser garantidos os seguintes recursos para a efetiva atuação do DPO, e consequentemente da estrutura de Proteção de Dados sob sua gestão:
“O DPO deve ter todos os recursos necessários para poder executar suas tarefas.
Dependendo da natureza das operações de processamento de dados, das atividades e tamanho da organização, os seguintes recursos devem ser fornecidos ao DPO:
- suporte ativo das funções do DPO por parte da gerência superior
- tempo suficiente para que os DPO cumpram suas tarefas
- apoio adequado em termos de recursos financeiros, infraestrutura (instalações, equipamentos) e pessoal, quando necessário
- comunicação oficial da nomeação do DPO a todos os colaboradores
- acesso a outros serviços dentro da organização, para que os DPO possam receber suporte, contribuições ou informações essenciais desses outros serviços
- treinamento contínuo.”[12] (tradução livre)
De acordo com essas responsabilidades, a estrutura de Proteção de Dados deverá apoiar o DPO nas atividades relacionadas ao mapeamento dos dados e tratamentos realizados, gerenciamento dos riscos de proteção de dados, monitoramento e respostas de incidentes, acompanhamento dos planos de ação para mitigação dos riscos de segurança da informação, elaboração de políticas de segurança da informação, estabelecimento de procedimentos internos de controle de segurança da informação, realização de treinamentos e capacitações sobre temas correlatos à proteção e privacidade de dados, controle de indicadores de desempenho relacionados ao Sistema de Privacidade de Dados, avaliação de terceiros e fornecedores cujas atividades envolvam tratamento de dados, dentre outras atividades vinculadas ao Sistema de Privacidade de Dados.
Em razão disso e de todas estas atribuições é que deve se reconhecer, em meu sentir, que o ambiente interno para alocação da estrutura de proteção de dados deve estar sob responsabilidade das áreas Jurídicas, de Conformidade ou de Controles Internos da organização, pois são elas que detém – dentre aquelas integrantes da segunda linha – a maioria das características descritas no parágrafo anterior. Haveria ainda que se cogitar se estruturas vinculadas a segunda linha, porém com escopo mais específico, poderiam abarcar tal estrutura, como é o caso, por exemplo, das Ouvidorias. Ora, diante das descrições de atribuições do sistema de proteção de dados e da abrangência de suas atividades, bem como, da multidisciplinariedade de suas necessidades, não parece razoável entregar sua condução a uma estrutura mais limitada dentro da companhia, cujas funções e competências não detém características mais abrangentes. É dizer, estruturas com abrangência e escopo mais específicos e limitados como ouvidorias e canais de comunicação seriam uma opção residual dentro da companhia, uma vez que havendo uma área interna que satisfaça os critérios de multidisciplinariedade e abrangência técnica, vinculada a segunda linha, estas devem ser preferenciais na opção de governança para privacidade dos dados.
Por fim, relevante mencionar que para apoiar o DPO em todas as decisões estratégicas relacionadas ao Sistema de Privacidade de Dados, é recomendável a constituição de um Comitê de Privacidade e Proteção de Dados, composto por – no mínimo – representantes da primeira linha diretamente envolvidos na execução das atividades fins da companhia e no (auto)controle da privacidade dos dados, por representantes da segunda linha, dentre eles da área jurídica, de integridade, de controles internos e gestão de riscos e, para aferir o apetite de riscos e direcionamento das políticas de proteção de dados, ao menos um representante da Alta Administração. Importante frisar que, diante do que já foi anteriormente exposto, não é possível a participação no referido comitê de integrante da auditoria interna, pois se assim o fosse, prejudicada estaria a independência desta área na avaliação dos controles e tratamentos direcionados à proteção de dados pelas áreas da primeira e segunda linhas.
Um Sistema de Privacidade de Dados torna-se mais efetivo quando a responsabilidade pela gestão dos dados é compartilhada entre as áreas de negócios, operações e tecnologia. A adoção de uma cultura de incentivo ao debate sobre os problemas e oportunidades relacionados ao tratamento de dados, bem como o direcionamento e priorização das ações de melhoria, torna-se muito mais abrangente e eficaz quando envolve várias áreas da empresa. Logo, a estruturação de um comitê multidisciplinar dedicado a Sistema de Privacidade de Dados é uma prática recomendada para adequação da empresa à LGPD.
Em conclusão, não se olvida que a tarefa de adequação à LGPD é responsabilidade que deve ser assumida pela instituição e por todo seu corpo funcional, para que contribuam neste processo de maneira sólida e efetiva, porém, também não se pode olvidar que qualquer contribuição para o sucesso do programa de proteção de dados, passa pelo bom senso e por critérios de interpretação jurídica razoável dos cenários existentes na realidade das empresas brasileiras, pelo que, devemos ultrapassar com agilidade e assertividade a discussão burocrático-formal sobre a alocação da estrutura de proteção de dados no organograma da companhia e fazer, o quanto antes, a diferença no dia a dia dos inúmeros titulares de dados que com a empresa se relacionam.
[1]Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016.
[2]Art. 5º- Para os fins desta Lei, considera-se:
(…)
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).”
[3]“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
(…)
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”
[4]“Art. 41 – O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.”
[5]WP29 Guidelines on Data Protection Officers (‘DPOs’), adopted on 13 December 2016, p.11: “Article 37(5) provides that the DPO ‘shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39’.”
[6]Conceito criado pela Doutora Ann Cavoukian, ex Comissaria de Informação e Privacidade da Província de Ontario e Diretora executiva do Instituto de Privacidade e Big Data da Universidade Ryerson: “Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.”
[7]Art. 1º A autoridade máxima do órgão ou da entidade da administração pública federal direta, autárquica e fundacional deverá indicar Encarregado pelo Tratamento dos Dados Pessoais, nos termos do disposto no inciso III do art. 23 e no art. 41 da Lei nº 13.709, de 14 de agosto de 2018.
É esse, inclusive, o entendimento expressamente exarado na IN. 117/20 – SGD/ME, veja-se: Art. 1º A autoridade máxima do órgão ou da entidade da administração pública federal direta, autárquica e fundacional deverá indicar Encarregado pelo Tratamento dos Dados Pessoais, nos termos do disposto no inciso III do art. 23 e no art. 41 da Lei nº 13.709, de 14 de agosto de 2018. § 1º O Encarregado pelo Tratamento dos Dados Pessoais indicado: II – não deverá se encontrar lotado nas unidades de Tecnologia da Informação ou ser gestor responsável de sistemas de informação do órgão ou da entidade.
[8]THE INSTITUTE OF INTERNAL AUDITORS, Modelo de Três linhas do IIA 2020, Uma atualização das Três Linhas de Defesa, 2020, p. 2
[9]IAPP-EY Annual Governance Report 2019, p. 15: “Article 37 of the GDPR requires the DPO to have reporting lines to the highest levels of management.” Disponível em: < https://iapp.org/resources/article/iapp-ey-annual-governance-report-2019/ > Acesso em: 14 fev. 2020.
[10]WP29 Guidelines on Data Protection Officers (‘DPOs’), adopted on 13 December 2016, p.5:
“Appointing a DPO is a first step but DPOs must also be given sufficient autonomy and resources to carry out their tasks effectively”
[11]Grupo de Trabalho do Artigo 29º (WP29) é o grupo de trabalho europeu independente que lidou com as questões relacionadas à proteção e privacidade de dados pessoais até 25 de maio de 2018, data em que foi substituído pelo Comitê Europeu de Proteção de Dados (EDPB).
[12]WP29 Guidelines on Data Protection Officers (‘DPOs’), adopted on 13 December 2016, p. 23: “The DPO must have the resources necessary to be able to carry out hisher tasks.
Depending on the nature of the processing operations and the activities and size of the organisation, the following resources should be provided to the DPO:
- active support of the DPO’s function by senior management
- sufficient time for DPOs to fulfil their tasks
- adequate support in terms of financial resources, infrastructure (premises, facilities, equipment) and staff appropriate
- official communication of the designation of the DPO tostaff
- access to other services within the organisation so that DPOs can receive essential support, inputinformation those other services
- continuous training.”