Desde 2018, com a promulgação da LGPD, indicar o DPO ou encarregado pelo tratamento de dados pessoais (em Portugal, encarregado pela proteção de dados pessoais), é obrigação das organizações públicas e privadas, bem como de profissionais liberais, na condição de controladores de dados pessoais, ou seja, aqueles que utilizam dados pessoais no seu negócio ou atividade, na condição de agentes de tratamento. Em verdade, não se imagina qualquer instituição pública, empresa privada, profissional liberal (como advogados, médicos, dentistas, arquitetos, psicólogos, contadores etc), ou até mesmo sem fins lucrativos (como igrejas ou entidades filantrópicas), que possa se desenvolver sem a utilização de dados pessoais, ainda que B2B.
Coletar, armazenar e compartilhar nomes, CPFs e endereços, seja de clientes, colaboradores ou fornecedores faz parte de todo negócio. Ainda que o tratamento ocorra em razão do cumprimento de obrigação legal, essas informações jamais serão da instituição, empresa ou profissional, mas, sim, permanecerão ligadas à personalidade dos titulares.
Essa essencialidade e dependência dos dados pessoais de terceiros para o funcionamento do negócio ou atividade fez com que as legislações determinassem a indicação do DPO como a pessoa, física ou jurídica, para atuar como canal de comunicação entre o controlador e os titulares dos dados, e também instituições como a Autoridade Nacional de Proteção de Dados (ANPD). Funções que somente devem ser desempenhadas por profissionais que efetivamente dominem a legislação e toda gama de tarefas multidisciplinares de gestão, segurança da informação, relacionamentos, dentre outras, não servindo a indicação apenas formal de alguém, um Fake DPO.
A indicação de um falso encarregado pelo tratamento de dados pessoais (Fake DPO) é prática extremamente arriscada e pode resultar em penalidades severas para as organizações no âmbito administrativo e civil e, sobretudo, com abalos à reputação da empresa. Dentre as sanções administrativas, que podem ser aplicadas pela ANPD, tem-se advertências, multas e até o bloqueio de banco de dados pessoais, impactando diretamente as operações. Essas penalidades decorrem tanto do descumprimento da lei, quanto da exposição dos titulares a riscos inaceitáveis, não sendo necessário, sequer, a ocorrência de vazamentos ou outros incidentes para que penas sejam aplicadas pela Autoridade e até pelo PROCON.
Um Fake DPO não tem as qualificações necessárias para assegurar a conformidade com a LGPD, ou, mesmo que as tenha, não dispõe da autonomia para orientar o controlador e proteger os direitos dos titulares, resultando em falhas na proteção de dados e aumento do risco de vazamentos e violações. Isso acontece nos casos em que o próprio médico, advogado, engenheiro ou mesmo profissional da TI ou segurança da informação são indicados apenas para “cumprir tabela”.
O Fake DPO também viola as orientações da ANPD, porquanto além da desqualificação técnica, falta de autonomia, será caso evidente de conflito de interesses quando o profissional se sujeitar a “sentar em duas cadeiras”. Tanto que a configuração de Fake DPO em razão do conflito de interesses é prevista na Resolução CD/ANPD nº 18, de julho de 2024, e no guia orientativo “Atuação do Encarregado pelo Tratamento de Dados Pessoais”, também da ANPD, de dezembro de 2024. É evidente, também, que a indicação de um profissional inadequado impede a implementação de práticas eficazes de governança e gestão de dados pessoais, prejudicando a conformidade com a LGPD.
No cenário internacional, notadamente no âmbito do GDPR (legislação que inspirou a LGPD), há precedentes que destacam os riscos da má indicação de um DPO, como ocorrido na Bélgica, onde a Autoridade de Proteção de Dados aplicou multa de €50.000 (cinquenta mil euros) a uma empresa por nomear como DPO o chefe de conformidade, auditoria e gestão de riscos. Essa acumulação de funções violou o artigo 38 do GDPR, que exige independência e ausência de conflitos de interesse na atuação do DPO ou, ainda, a multa de €75.000 (setenta e cinco mil euros) a empresa que indicou como DPO empregado que acumulava responsabilidades em gestão de riscos e investigação.
É essencial, também, que o DPO tenha acesso direto à alta administração e participe de decisões estratégicas que envolvam dados pessoais, para que a organização evidencie atuar no modelo privacy by design, ou seja, já na concepção de produtos e serviços atenta ao correto tratamento de dados pessoais.
No Brasil, como já percebido pela intensa atividade normativa, a ANPD mostra-se extremamente atenta à correta indicação do DPO autônomo, tecnicamente capacitado e livre de conflitos de interesses. Seja pela atividade orientativa já mencionada na Resolução e no Guia Orientativo, seja por já haver processos sancionatórios mesmo à administração pública, bem como no noticiado no final de 2024 sobre a fiscalização de 20 empresas “por falta de Encarregado e canal de comunicações adequado”, exatamente por essas condutas implicarem falha na transparência e na prestação de informações sobre o tratamento de dados. As empresas fiscalizadas das mais diversas áreas como financeira, tecnologia, educação, saúde entre outras, já foram notificadas e receberam prazos para corrigir as inconformidades, sob pena de aplicação de sanções administrativas adicionais, incluindo multas.
Mas e como fazer?
A LGPD e as orientações da ANPD são claras ao mencionar que a empresa, organização ou profissional liberal podem optar entre a indicação interna e a contratação de profissional terceirizado, que também pode ser pessoa jurídica, com todos os ganhos de eficiência e redução de custos que a terceirização de uma empresa especializada concede.
Cada modalidade apresenta vantagens e desvantagens, adequadas, especialmente ao porte e ao volume de dados pessoais tratados.
Para a maioria das empresas e para os profissionais liberais, a contratação de DPO terceirizado parece a melhor solução, o que já ocorre, por exemplo, com profissionais de contabilidade que atuam para dezenas ou centenas de empresas, mantendo os elevados níveis de integridade, confiabilidade e eficiência.
Um DPO terceirizado terá profundo conhecimento das legislações de proteção de dados, gestão de riscos e governança, com capacidades de orientação, também, quanto à segurança da informação. Não ocupando cargos que possam gerar conflitos de interesse, com atuação focada na proteção dos dados pessoais, e no atendimento aos direitos dos titulares sem interferências, protegendo, ao fim, a própria empresa. Afinal, quando os titulares percebem seus direitos respeitados e atendidos, aumentam a confiança na empresa e no profissional, com custos muito menores do que a contratação de profissional exclusivo.
Profissionais reconhecidos pelo mercado, com experiência e capacitação técnica já dispõem de suporte estrutural próprio, incluindo ferramentas tecnológicas e equipes especializadas, para que o encarregado possa desempenhar suas funções de forma eficiente. Além disso, esses profissionais mantêm-se continuamente capacitados e aptos a manter treinamentos regulares e atualizações dos times da empresa sobre a legislação, assegurando que os colaboradores, fornecedores e gestores adotem as providências orientadas pelo DPO. Vale relembrar que todos os colaboradores e fornecedores também devem ser capacitados para lidar com dados pessoais de clientes e empregados, cabendo ao DPO liderar esse processo.
Assim, a indicação de um DPO qualificado e independente é mandatória para a conformidade das organizações, e a promoção da cultura de proteção de dados. Práticas inadequadas, como a nomeação de Fake DPOs, comprometem a reputação da empresa, a segurança do tratamento dos dados e expõem a organização a sanções severas, além da perda de mercado, pois serão empresas com menor índice de confiança.
Casos internacionais, como o exemplo do GDPR na Bélgica, e nacionais, como a fiscalização recente da ANPD no Brasil, evidenciam a seriedade do tema e a necessidade de observância estrita às exigências legais. Portanto, as empresas devem tratar a escolha do DPO com a seriedade necessária, garantindo que o profissional indicado tenha autonomia e competências adequadas para exercer suas funções com integridade e eficácia.
Gostou do texto? Aproveite para conferir a participação do autor convidado, Newton Moraes, no segundo episódio do podcast Privacy Leaders clicando aqui.
