As atividades do DPO segundo a Classificação Brasileira de Ocupações (CBO) e os cuidados necessários à contratação desse profissional
Direito Digital e Proteção de Dados
A Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe em seu art. 5º, VIII, a figura do encarregado: “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANP)”.
Ainda, o §2º do art. 41 da LGPD prevê que as atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Muito embora a LGPD tenha estabelecido uma nova figura com atribuições específicas, o que demandou das empresas optar pela contratação de novos empregados para o seu exercício, ou a cumulação de funções dos empregados já contratados ou, ainda, a contratação de terceiros para a realização de tais atividades, a ocupação do encarregado pelo tratamento de dados pessoais só foi regulamentada em 2021, com início de aplicação em 2022, quase 4 anos após a vigência da lei.
Assim, as atividades do encarregado foram reconhecidas pela CBO – Classificação Brasileira de Ocupações do Ministério do Trabalho e inseridas dentro da classificação ampla de “Gerentes administrativos, financeiro, de riscos e afins” (1421), na subcategoria “Oficial de proteção de dados pessoais (DPO)” (1421-35), adotando assim a designação utilizada pela GDPR e recepcionada no Brasil e com a seguinte descrição:
Planejam processos administrativos, financeiros, de Compliance, de riscos e de proteção de dados pessoais e privacidade. Gerenciam pessoas, rotinas administrativas e financeiras. Administram riscos, recursos materiais, serviços terceirizados e canal de denúncia. Participam da implementação do programa de compliance e/ou de governança em privacidade. Monitoram e avaliam o cumprimento das políticas do programa, normativas, código de ética, procedimentos internos e parceiros de negócios. Participam da identificação de situações de riscos e propõem ações para mitigação dos mesmos. Prestam atendimento ao cliente e/ou cooperado e/ou titular de dados pessoais.
(CBO. Disponível em: http://www.mtecbo.gov.br/cbosite/ Acesso em 06 setembro 2022.)
Verifica-se que a CBO prevê atribuições muito mais amplas do que aquelas previstas na legislação que trata da proteção de dados pessoais, fazendo uso da previsão contida no inciso IV, §2º, do art. 41, da LGPD acima transcrito.
A Classificação Brasileira de Ocupações – CBO é o documento normalizador do reconhecimento, da nomeação e da codificação dos títulos e conteúdo das ocupações do mercado de trabalho brasileiro, reconhecimento esse para fins meramente classificatórios, sem função de regulamentação profissional (CBO, 2022)
Mas, o que esperam as empresas de seus DPOs? Será que as atribuições do encarregado se limitam às previstas na lei e na classificação do Ministério do Trabalho?
A Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), em Proposta Técnica para a Regulamentação do Encarregado (DPO) na LGPD, datada de 04 de abril de 2022, e emitida em razão da Tomada de Subsídios 1/2022 realizada pela ANPD – Autoridade Nacional de Proteção de Dados e publicada em 18/03/2022 apresentou 21 contribuições para normas complementares sobre a definição e as atribuições do Encarregado:
I. O ENCARREGADO deve orientar os funcionários e contratados do controlador sobre as práticas de privacidade.
II. O ENCARREGADO é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD.
III. O ENCARREGADO deve orientar para que políticas de privacidade previstas no Art. 50, §2º, I, d, explicitem a atividade descrita no Art. 41, §2º, III da LGPD.
IV. O ENCARREGADO deve orientar a correta implementação dos princípios da LGPD descrito no Art. 6º da LGPD, e adoção das boas práticas durante o planejamento de sistemas utilizados para o tratamento de dados pessoais.
V. O ENCARREGADO pode orientar funcionários e contratados em observância às recomendações já definidas no Guia de Orientação para os Agentes de Tratamento publicados pela a ANPD.
VI. O ENCARREGADO deve estar em posição hierárquica que lhe permita dar orientações isentas e com independência para que a organização possa alcançar conformidade com a legislação.
VII. Considera-se importante e boa prática preventiva, que o ENCARREGADO demonstre conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.
VIII. O ENCARREGADO deve manter-se atualizado sobre a LGPD ou outros regulamentos aplicáveis, além das melhores práticas de proteção de dados objetivando maior grau de assertividade em suas orientações profissionais.
IX. Como norma complementar o ENCARREGADO pode demonstrar através de cursos e certificações profissionais, sua capacidade técnica para orientações em proteção de dados conforme definido.
X. O ENCARREGADO deve ter suas orientações formalizadas e divulgadas às áreas organizacionais que executarem atividades de tratamento de dados pessoais.
XI. O ENCARREGADO deve ser ponto único de contato do controlador ou operador para com a Autoridade Nacional de Proteção de Dados, ser devidamente nomeado pela instituição a qual representará.
XII. O ENCARREGADO deve verificar se suas as atividades previstas no Art. 41, §2 estão contidas nas políticas internas.
XIII. O ENCARREGADO deve verificar se as orientações referentes às práticas de proteção de dados, foram adotadas pela organização, ou justificadas adequadamente quando não se aplicarem.
XIV. O ENCARREGADO deve verificar e formalizar para o controlador ou operador, as orientações a respeito das práticas de proteção de dados a fim de favorecer a prestação de contas da organização para com a ANPD e ao titular.
XV. Em cumprimento ao Art. 5, VIII, o ENCARREGADO pode cooperar com a ANPD ou outros órgãos competentes fornecendo as documentações solicitadas em caso de investigação.
XVI. O ENCARREGADO deve orientar os funcionários sobre as práticas de proteção de dados através de ações educativas e treinamentos que contemplem desde a concepção do tratamento do dado pessoal.
XVII. O ENCARREGADO deve executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (Art. 41, §2, IV) que não conflitem com os deveres previstos na LGPD.
XVIII. O ENCARREGADO deve supervisionar a aplicação das práticas de proteção de dados orientadas para os funcionários e contratados da organização.
XIX. O ENCARREGADO deve ser envolvido nas atividades que tratem dados pessoais emitindo parecer técnico quanto aos riscos do tratamento.
XX.O ENCARREGADO colabora com aconselhamento, quando tal lhe for solicitado, no que respeita o relatório de impacto de proteção de dados e coordenando a sua realização nos termos do artigo 38 da LGPD.
XXI. O ENCARREGADO deve estar vinculado à obrigação e/ou regras de sigilo ou confidencialidade, no exercício das suas funções, quanto orientações referentes as práticas de proteção de dados contidas no Art. 41, §2, III da LGPD.
(ANPPD. [Site Institucional]. Disponível em: https://cms.anppd.org/res/arquivos/1655882973_Regulamentacao%20do%20DPO.pdf. Acesso em 06 setembro 2022.)
Importante frisar que a ANPPD, para a proposta encaminhada utilizou-se de 3 (três) métodos científicos: direito comparado, análise bibliométrica e levantamento (Survey), sendo esse último realizado por meio da “solicitação de informações a um grupo significativo de pessoas acerca do problema estudado para em seguida, mediante análise, obter as conclusões correspondentes dos dados coletados.” Foram aplicados questionários eletrônicos a mais de “trinta mil profissionais ligados direta ou indiretamente às questões de privacidade e da LGPD”.
Assim, quem mais se aproxima da realidade do “mercado brasileiro”, a CBO ou a Proposta Técnica mencionada que se baseou na legislação mundial de proteção de dados que têm um histórico de aplicação muito mais significativo que o panorama brasileiro e nas respostas obtidas dos profissionais que realmente vivenciam a realidade da profissão?
Diante desse panorama, quais são os cuidados que as empresas que querem manter em seu quadro de pessoal a figura do DPO devem tomar ao realizar as contratações?
Considerando que na prática, as atividades do DPO são muito mais amplas do que aquelas previstas na LGPD e na CBO, é importante que o empregador formule um contrato de trabalho claro, contendo todas as funções que serão exercidas por aquele empregado e a contraprestação decorrente dessas funções.
A utilização de contratos de trabalho genéricos, superficiais como aqueles encontrados nos modelos fornecidos na internet, por exemplo, podem significar um alto risco para as empresas tendo em vista que dará margem à possíveis demandas trabalhistas pleiteando acúmulo ou até mesmo desvio de função, ocasionando consequências como diferenças salariais e seus reflexos, indenizações ou até mesmo rescisão indireta do contrato de trabalho.
Outro ponto que merece destaque é a existência de políticas internas bem definidas em relação a cargos, salários e planos de carreira e uma boa equipe de Recursos Humanos.
O DPO ou encarregado ganha, a cada dia, mais reconhecimento quanto a sua importância na esfera organizacional de uma empresa e na criação de uma cultura em proteção de dados no país, porém, ainda há dúvidas quanto a extensão de suas atribuições e os limites de sua atuação, sendo necessário certos cuidados para garantir não só os seus direitos, como também a saúde financeira e reputacional daqueles que os empregam.
Karina Furquim da Cruz
Especialista em Direito Direito Digital e Proteção de Dados
Sócia do escritório Karina Cruz Advocacia