O DPO Revisitado

Muito já se falou, muitos "flames" e inimigos já foram criados a partir da interpretação das funções (e, especialmente do suposto salário) do Encarregado de Dados.

Neste momento, onde o Congresso Nacional manteve o veto da Presidência da República sobre a necessidade de conhecimento jurídico regulatório, e outros detalhezinhos "menores", acredito que vale a pena retornar ao assunto, mesmo correndo o risco de ser crucificado mais uma vez.

Primeiro, vamos tentar entender a sequência e os tropeços de uma Lei: De uma forma (muito) simplificada, os legisladores criam um projeto de Lei, que vai para a Presidência da República, a quem cabe promulgar a mesma, com a possibilidade de vetos. Um veto significa que a Presidência da República (não é "ré pública") considerou que alguma parte do texto proposto não deve fazer parte da Lei. 

No caso da LGPD, isto aconteceu na Lei original (chamemos assim a 13.709/18, a LGPD que foi promulgada em 14 de agosto de 2018), com respeito à criação da ANPD, especialmente.

Logo de promulgada a Lei Original, a Presidência da República emitiu uma Medida Provisória (a MP869), cuja função era adicionar alguns mecanismos à Lei, incluindo a tal criação da ANPD da Lei original. Não cabe aqui avaliar o porquê destes vetos. Só vamos fixar o olho nos fatos, certo?

Uma vez promulgada uma Medida Provisória, o Congresso deve avaliar a mesma, incluir pontos que achar necessários (emendas), envia-la para o Senado, que a devolve votada, para que vá para a Presidência da República, outra vez. Quando isto aconteceu com a MP869, foram criadas quase 200 emendas. Apenas uma metade delas foi aceita pelo relator (o cara do Senado, que se responsabiliza por "dar a cara" com a redação e apresentação final da MP). 

A Medida provisória é então transformada em nova Lei, pela Presidência da República. Neste momento, a Presidência pode, novamente, emitir vetos, cortando total ou parcialmente as emendas que foram propostas. Agora esta nova Lei retorna ao Congresso (sim, de novo), para que sejam avaliados os vetos presidenciais. Se o Congresso achar por bem anular algum veto, pode fazê-lo, mediante votação.

A LGPD teve vários vetos da Presidência da República. Entre eles, nos interessa, especialmente, aqueles que se referem ao exercício da função de Encarregado de Dados, que, normalmente, chamamos de DPO, só para copiar os europeus, que possuem o seu "Data Protection Officer", já que o nome oficial especificado na Lei é, realmente, "Encarregado de Dados" (o brasileiro necessita uma sigla em inglês para achar que o cargo é mais importante). 

O que dizem tais emendas e vetos? No caso do Encarregado de Dados, são aquelas "partes" relativas ao parágrafo 4º que copio, abaixo:

§ 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, além do disposto neste artigo, a autoridade regulamentará: 

I - os casos em que o operador deverá indicar encarregado;

II - a indicação de um único encarregado, desde que facilitado o seu acesso, por empresas ou entidades de um mesmo grupo econômico;

III - a garantia da autonomia técnica e profissional no exercício do cargo.

Observe que, aqui, fica muito clara a intenção de determinar a necessidade do conhecimento jurídico-regulatório para o Encarregado de Dados. Muitos profissionais lêem o texto acima e já afirmam, categoricamente, a necessidade de tal conhecimento por parte do Encarregado. Em alguns casos, palestrantes e instrutores de cursos sobre a LGPD chegam a dizer que o Encarregado de Dados deve possuir uma certificação oficial como DPO, para exercer sua função.

Gente, sejamos sensatos! Antes de afirmar algo assim, entre no portal do Congresso Nacional, e acompanhe a tramitação completa da Lei. O texto citado acima foi vetado pela Presidência da República, quando da publicação da Lei 13.853/19, que altera a Lei original.

E o veto diz o seguinte:

"Razão do veto" 

A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.

Não vem ao caso o mérito da questão! Não sou um profissional do Direito, nem um jurista, para analisar se a emenda ou o veto são ou não coerentes. Isto não vem ao caso!

Como profissional da área da LGPD e da Segurança da Informação, interessa saber o fato. O que vale, para nós, neste momento. 

Pois bem, o Congresso Nacional reavaliou os vetos da Presidência da República, a finais de setembro de 2019, e, no que diz respeito ao veto anteriormente citado, referente ao Encarregado de Dados, o manteve, na íntegra!

Isto significa que, hoje, o Encarregado de Dados não necessita conhecimento jurídico-regulatório, nem certificação alguma!

Não estou dizendo que os cursos e certificações são inválidos. De forma alguma! Cursos e certificações são de extrema importância para o mercado de trabalho, sem nenhuma dúvida. Qualquer profissional que possa realizar treinamentos, especializações, e conseguir certificações específicas sobre sua área, será muito mais valorizado no mercado de trabalho! Mas afirmar que a certificação é obrigatória, é, minimamente, desonesto, de parte de que o afirma.

Na verdade, sabemos que muitos mercados proliferarão neste "caldo de culturas" gerado pela nova Lei. Sempre é assim! Uns choram e outros vendem lenços de papel!

Agora você verá hordas de vendedores vendendo firewall, discos, programas e dispositivos para wifi, que "solucionarão seu problema com a LGPD". Assim como verá uma enorme quantidade de cursos de DPO (assim mesmo se chamam os cursos que já estão no mercado), que o prepararão para uma carreira meteórica com salários de até R$ 50K mensais. Isto é ironia, tá? Não estou endossando nada disto!

Os salários do Encarregado de Dados serão determinados pelo mercado. Se alguém quiser contratar-me por 50K, eu não farei objeções, mas este, definitivamente, não será o valor do mercado. 

Quem vai ter as maiores dores de cabeça com a LGPD serão, sem nenhuma dúvida, os profissionais de Segurança da Informação, seguidos dos profissionais de TI, e logo depois, dos profissionais de direito. É só a minha opinião, mas você pode tentar entender-la:

Os profissionais de direito terão de revisar contratos, documentos e procedimentos, de forma a que estes se adaptem, com urgência, aos rigores da nova Lei. 

Os profissionais de TI terão que adaptar infraestrutura e sistemas para cumprir com as exigências. Isto tomará muito tempo, e muito dinheiro deverá ser investido, em hardware, software, e em treinamento de pessoal.

E os profissionais de Segurança da Informação terão que coordenar tudo isto. Porque todosos pontos tocados pela LGPD, independentemente se estão na área do direito, do software, do hardware, ou do papel que o funcionário usa para anotar algo, devem estar aplicados no âmbito da Segurança da Informação.

Ao afirmar isto, não diminuo o mérito de ninguém. Advogados terão muito serviço! Gente de TI terá muito serviço! Profissionais de Segurança da Informação terão muito serviço!

E o Encarregado?

Também terá bastante serviço, senhores! Mas a função do encarregado, só começa quando estes outros profissionais entendam e façam a sua parte! Não coloquemos a "carreta em frente dos bois". 

Se você é o Encarregado de Dados de uma empresa, ou se está se preparando para sê-lo, parabéns. Será um dos novos profissionais em uma área nova! Isto é ótimo! 

Estude muito, porque vai ser necessário!

Se você é profissional de direito, TI, ou Segurança da Informação, dedique o máximo de seu tempo em acumular conhecimento, porque a LGPD está no seu colo, e você será o responsável por uma grande parcela (senão o todo, em muitas empresas), do trabalho de adequação. 

Estude muito, porque vai ser necessário!

Você ainda têm dúvidas? Todos temos!

Busque a Lei, e leia, detalhadamente, o artigo 41. Lá estarão as definições e atribuições do Encarregado de Dados (o grifo é do autor):

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.


Conselho adicional: Vá no site do governo e leia a Lei mesma. Na fonte! Leia e interprete a mesma. Releia, se for necessário. Também existem bons livros sobre o assunto (obviamente preciso citar o meu, que você encontra aqui). 

Aprendi a ler quando era criança, e me ensinaram que, para compreender um texto, é necessário, primeiro, ler, depois interpretar. Se você chegou até aqui, é porque já leu o artigo. Então, por favor, não me interprete mal! Se tiver dúvidas sobre o que digo, leia de novo. Ou me escreva, em privado, que estarei sempre aberto à críticas, observações e sugestões!

------------------------

Aproveito para comentar que escrevi um livro sobre o tema, chamado LGPD Ninja, abrangendo todas estas questões, além de todo o processo de implementação da lei, em empresas de qualquer porte, através de um framework. O livro está disponível para aquisição em sites de departamentos, ou, diretamente da editora, tanto na versão impressa como na versão e-book. O link se encontra abaixo.

Versão impressa ou Versão e-book no site da editora Fross.

Tenho certeza de que pode ser um importante subsidio para complementar os conhecimentos de todos os profissionais ou interessados na LGPD. Além disto, estamos oferecendo palestras e cursos sobre a Lei e sua implementação. Qualquer dúvida, contate-me em privado, por favor.

Publicado por
Sergio Pohlmann
CISSP, C|CISO, ISO 27701 Security and Privacy Information Manager / LGPD
Consultor LGPD Ninja