DPO (Encarregado de dados pessoais): Teoria e Prática

Sinopse

DPO (Data Protection Officer, traduzido por Oficial de Proteção de Dados); no Brasil Encarregado de Proteção de Dados Pessoais, sendo essa a expressão trazida pela Lei Geral de Proteção de Dados Pessoais (LGPD).

Trata-se de profissão (ou atividade) mais desejada no Brasil e no mundo nos últimos anos, com altas remunerações, e com enorme campo de trabalho para esse serviço, que pode ser prestado por profissionais individualmente ou por consultorias enquanto serviço terceirizado. Entretanto, os DPOs precisam de livros de cabeceiras que possam embasar e nortear suas atuações profissionais, sendo este um dos propósitos desta obra.

Contextualizando, o legislador brasileiro tem atuado de forma a aprimorar o regime jurídico da proteção de dados pessoais. Desse modo, a proteção de dados passou de matéria acessória (pelas disposições do Código Civil, Código de Defesa do Consumidor, Marco Civil da Internet etc.) para se tornar tema central com o advento da LGPD e da Emenda Constitucional n. 115/2022, pela qual a proteção de dados tornou-se direito fundamental.

Pelo advento da LGPD, a presença do DPO nas empresas (e instituições em geral) – além de uma exigência legal, em grande parte dos casos – é uma necessidade prática. Afinal, as instituições precisam manter sua conformidade e possuir condições, ininterruptamente, de atender solicitações de titulares de dados e autoridades públicas.

Daí o propósito de uma obra como esta, que condensa o conhecimento teórico e prático de diversos profissionais que atuam com a LGPD e proteção de dados, inclusive no exercício da função de DPO.

Há uma grande demanda no mercado para a comercialização e aquisição desta obra. No cenário editorial brasileiro já há um livro sobre DPO, do qual o nosso se diferenciará e se destacará. Isso pois, a nossa obra é robusta e multidisciplinar, uma vez que foi elaborada por autores cuja expertise em diferentes áreas do conhecimento – direito, tecnologia, compliance, design, governança e segurança da informação – fornecendo, portanto, uma visão multidisciplinar.

Embora de conteúdo denso, é uma obra de cunho prático, o que, por certo, guiará os DPOs a cumprirem seus deveres apoiando seus clientes (ou empregadores) na manutenção da conformidade à LGPD e, sobretudo, no respeito ao direito fundamental à proteção de dados. Para dúvidas e sugestões, favor escrever para tarcisio@privacidadegarantida.com.br.

Coordenação

Tarcisio Teixeira é Advogado especializado em Proteção de Dados. Doutor e Mestre em Direito Empresarial pela Universidade de São Paulo (USP). Pós-graduado (especialização) em Direito Empresarial pela Escola Paulista da Magistratura (EPM). Professor universitário da Escola Paulista de Direito (EPD) e Escola Superior de Advocacia (ESA/OAB-SP). É autor dentre outros livros, de: Direito Digital e Processo Eletrônico, 6. ed.; Direito Empresarial Sistematizado, 10. ed.;LGPD e E-commerce; Manual da Compra e Venda, 3. ed., todos estes publicados pela Saraiva Educação. Fundador da Privacidade Garantida, que presta serviços de consultoria e implementação em proteção de dados. tarcisio@privacidadegarantida.com.br

João Rodrigo de Morais Stinghen é Advogado com experiência em Direito Digital, Notarial e Registral e autor de diversos artigos científicos nessas áreas. Consultor jurídico em privacidade e proteção de dados, certificado pela EXIN (PDPF). Especialização em Direito Digital e proteção de dados pela Escola Brasileira de Direito (EBRADI). Membro da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD), exercendo as funções de coordenador do comitê de conteúdo e editor da revista LGPD Magazine. Membro da Comissão Nacional de Direito Notarial e Registral da Associação Brasileira de Advogados (ABA). Fundador Consultor em projetos de implementação da LGPD na empresa Privacidade Garantida. Fundador do Instituto de Compliance Notarial e Registral (ICNR), onde desenvolve eventos, treinamentos e programas de compliance para cartórios. Autor da obra LGPD e Cartórios: implementações e questões práticas, publicada pela Saraiva Educação.

Mirian Aparecida Esquárcio Jabur é Data Protection Officer (DPO), na área de Segurança da Informação, tendo liderado/aconselhado iniciativas de adequação da LGPD. Diretora do Comitê de Conteúdo da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Gestora de Projetos da Auditoria de Governança de Dados e Privacidade. Especialista em GRC e gestora de projetos da Auditoria de Governança de Dados e Privacidade. Larga experiência nos modelos Cobit® e ISO 27001. Vivência em ambiente ágil e Segurança da Informação. Atuação em projetos e treinamentos. Possui diversas certificações técnicas em TI e SI. Professora e palestrante no tema de Privacidade de Dados. Atuante no Comitê de TI da Subcomissão de Auditoria da Febraban no tema de LGPD.

Ruth Maria Guerreiro da Fonseca Armelin é Advogada, palestrante e professora especialista em proteção de dados pessoais. Graduada pela Universidade Estadual de Londrina/PR (UEL). Pós-graduada em Teoria e Prática em Direito Empresarial pela Pontifícia Universidade Católica do Paraná (PUCPR). Diretora de Educação do Instituto de Direito Digital do Vale do Paraíba (IDDV). Membro da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Certificada pela EXIN-PDPE.

Autores

Adriana Carla Silva de Oliveira é Pós-doutora em Direito, Doutora em Ciência da Informação. Analista Judiciário do Tribunal de Justiça do Estado do Rio Grande do Norte (TJRN). Professora Colaboradora da Universidade Federal do Rio Grande do Norte.

Ana Maria Alves Esquárcio é Advogada com experiência em Direito Civil, Digital, Notarial e Registral. Bacharela em Direito pela Faculdade de Sabará/MG. Consultora jurídica em projetos para adequação e gestão da LGPD.

Ana Paula Rodrigues Alves é Consultora em Gestão Jurídica especializada e certificada nas áreas de Estratégia, Planejamento, Gestão de Pessoas e Gestão dos Serviços Jurídicos. MBA em Gestão de Pessoas. Certificada como Analista de Perfil Comportamental pela IBC. Certificada como Auditora de Processos Gerenciais ISO 9001. Experiência na gestão de escritórios de advocacia de todos os portes e seguimentos, prestando serviços para escritórios de grande prestígio e reconhecidos pela Análise 500 como escritórios mais admirados do Brasil. Membro Fundadora da Comissão de Inovação e Gestão OAB/Londrina. Professora Convidada no curso de Gestão de Escritório de Advocacia na Damásio Educacional de São Paulo. Professora Convidada para o Curso de Extensão & Prática – Gestão Estratégica na Advocacia – da Escola Superior de Advocacia (ESA/SC). Professora Convidada para o curso de Pós-graduação em Direito Empresarial Aplicado à Era Digital –Gestão de Advocacias Empresariais e Departamentos Jurídicos (2020; 2021; 2022), pela Universidade Estadual de Londrina (UEL). Coautora de livros.

Andréa Cavalcante Gouveia é Advogada, sócia do escritório Cavalcante Gouveia Advocacia, com amplo conhecimento jurídico, em Direito Civil, atuação em LGPD, Empresarial, Imobiliário, Contratos, Societário, Digital. Coordenadora do Comitê de Conteúdo da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD). Membro da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP.

Anielle Eisenwiener Martinelli é Data Protection Officer (DPO), tendo coordenado projetos para adequação e gestão da LGPD. Coordenadora do Comitê de Conteúdo da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD). Consultora de Projetos para Auditoria de Segurança da Informação e Governança de Dados e Privacidade. Mais de 25 anos de experiência na área de TI em implantação e gestão de serviços de TI (Service Desk, Field Support, Suporte Especializado, SNOC), Escritório de Governança de Processos; Implementação de serviços baseado em metodologia ágil e Lean Six Sigma; Análise de aderência da Organização à LGPD, implementação de Projeto de Privacidade de Dados. Implementação de Governança, Risco e Compliance (GRC); Plano de Continuidade do Negócio (PCN); Plano de Continuidade Operacional (PCO); Plano de Contingência do Serviços.

Carolina Ferreira Domingues é Advogada e Professora. Especialista em Licitações e Contratos pela Universidade do Sul de Santa Catarina (Unisul). Pós-graduanda em Direito à Proteção, Uso e Segurança de Dados. Atua junto a órgãos públicos há 15 anos. Professora do Curso Implementação LGPD organizado pelo CEAP BRASIL. Sócia Fundadora do escritório Ferreira Domingues.

Dayane Karine de Sousa Mendonça é Advogada.

Fabiana Felisbino é Advogada. Bacharel em Direito pela Universidade de Contestado (UNC), com atuação na área de Privacidade e Proteção de Dados.

Fabiolla Labelle Ornelas Canedo é Mestre em Filosofia do Direito pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Analista Judiciário Federal na Justiça Federal de São Paulo. Professora e Pesquisadora. Presidente do Instituto de Direito Digital do Vale do Paraíba (IDDV).

José Luiz de Medeiros é Especialista em Direito Digital e LGPD. Consultor em Privacidade e Proteção de Dados & Segurança da Informação, certificado pela EXIN (DPO & INFORMATION SECURITY OFFICER), Auditor Líder ISO 27001 certificado pela PECB, Lead Implementer e Auditor Interno ISO 27701 certificado pela ABNT. Autor de diversos artigos científicos nessas áreas. Bacharel em Direito pela Universidade Cidade de São Paulo (UNICID). Pós-graduado em Ciências Jurídicas pela Universidade Cruzeiro do Sul (UNICSUL). MBA em Gestão de Projetos pela Universidade Candido Mendes (UCAM). Graduado em Análise em Desenvolvimento de Sistemas pela Universidade Estácio de Sá (ESTÁCIO). Graduado em Defesa Cibernética pela Universidade Estácio de Sá (ESTÁCIO). Membro dos comitês jurídico e Poder Público da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD). Membro da Associação Nacional de Advogados de Direito Digital (ANADD). Consultor em projetos de implementação e Auditoria de Segurança da Informação e Privacidade na empresa Daryus Consultoria e Treinamentos. Instrutor Oficial EXIN pela Instituto Daryus de Ensino Superior Paulista (IDESP). Servidor Público.

Juliana Coelho dos Santos é Advogada e consultora em privacidade e proteção de dados pessoais. Graduada em Direito pela Universidade Federal do Rio de Janeiro (UFRJ) e especialista em Direito Processual Civil. Certificada em Privacy and Data Protection Essentials (LGPD) pela EXIN. Diretora de Comunicação do Instituto de Direito Digital do Vale do Paraíba – São Paulo (IDDV).

Kelwin Carvalho é Especialista em Inbound Marketing com foco em B2B. Experiência de mais de sete anos em Marketing Digital, Gestão de Produto, E-books Corporativos, Desenvolvimento de Conteúdo Educacional e Branding de profissionais e marcas.

Marcelo Alves da Silva é Analista de Sistemas.

Priscila Medina é Analista de Contratos. Atua na Área de Negociação Extrajudicial de Contratos de Telecomunicações. Graduanda em Direito na Faculdade CESUSC. Graduanda em Administração Pública pela Universidade do Estado de Santa Catarina (UDESC). Assistente Jurídica Júnior no Escritório Ferreira Domingues

Rodrigo da Costa Alves é Advogado.

Samila Ariana Alves Machado é Jornalista. Coordenadora do Comitê de Conteúdo da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) e da Editora da Revista LGPD Magazine, publicada pela mesma associação. Bacharel em Direito, Pós-graduada em Direito Notarial de Registral pela LFG, cuja Educação complementar compreende cursos de certidões no Registro de Imóveis, Compliance para Cartórios (Prov. 88/2019), LGPD, Direito Imobiliário, Fashion Law e Propriedade Intelectual. Sócia do Instituto de Compliance Notarial e Registral (ICNR), onde desenvolve eventos, cursos e treinamentos para cartórios.

Vinicius Cheliga é Advogado e professor formado pela Universidade Estadual de Londrina (UEL), Engenheiro da Computação pela Universidade Norte do Paraná (Unopar), especialista em Direito Digital e proteção de Dados. Coautor de livro.

CAPÍTULO 1

O papel do DPO na orientação do projeto de adequação à LGPD

Tarcisio Teixeira¹

João Rodrigo de Morais Stinghen²

1. Introdução

Até meados do século XX, era comum a ideia de que a privacidade fosse uma preocupação de pessoas de mais projeção social ou patrimonial, que teriam mais chances de serem expostas³. Relacionada à ideia de sigilo, a privacidade protegia bancários, fiscais de comunicações (postal, telegráfico, telefônico).

O desenvolvimento da técnica, sobretudo na segunda metade do século XX, fez crescer exponencialmente os meios de coleta e processamento de informações. Na era dos equipamentos inteligentes, do streaming e das redes sociais, o uso massivo de dados pessoais é fenômeno irreversível.

Nesse contexto, desenvolveu-se a preocupação global com uma proteção de dados pessoais por uma mudança de paradigma: não mais se concebem os dados como propriedade, mas como emanação da dignidade da pessoa humana⁴.

Para que o tratamento de dados pessoais respeite a autodeterminação informativa, deve ocorrer com finalidades específicas, legitimação em bases legais e respeito aos direitos dos titulares.

A conformidade a este novo paradigma ocorre mediante a implementação de programas de compliance com orientação à proteção de dados. Neste trabalho, são expostos aspectos práticos da implementação da Lei Geral de Proteção de Dados Pessoais (LGPD), com enfoque no papel do encarregado de dados no projeto.

2. Passos iniciais: encarregado e mapeamento de riscos

Para implementar a LGPD é preciso: (i) mapear o tratamento de dados pessoais, definindo o ciclo de vida dos dados; (ii) mapear os riscos de impacto aos direitos dos titulares pela atividade de tratamento; e (iii) implementar mecanismos orientados à mitigação desses riscos, com medidas técnicas e administrativas.

2.1. Escolha e nomeação encarregado de dados

Desde o início do projeto – se possível, antes dele começar – é recomendável que haja a indicação do encarregado de dados, ou Data Protection Officer (DPO). Mesmo que esta etapa possa ser postergada, é muito vantajoso que o projeto de implementação seja desde o início acompanhado pelo DPO, que poderá monitorar seu progresso.

Além disso, com a indicação preliminar, o encarregado indicado a empresa já estará apto a recepcionar demandas dos titulares e das autoridades públicas, bem como orientar a empresa frente a incidentes de segurança e/ou violações de dados pessoais.

Embora a LGPD preveja a possibilidade de a Autoridade Nacional de Proteção de Dados (ANPD) eximir certos agentes de tratamento desse dever por meio de regulamentação (art. 41, § 3º, LGPD)⁵, sua indicação sempre é considerada uma boa prática.

Faculta-se à organização a escolha de um encarregado em três modalidades: (i) colaborador; (ii) pessoa natural externa (consultor); (iii) pessoa jurídica. A primeira coisa que se percebe é que o encarregado de dados não é um cargo de pouca importância. Por isso, o primeiro critério para escolher é que seja alguém comprometido com a função e capaz de exercê-la.

O encarregado de dados não deve apenas encaminhar as soluções técnicas para as demandas apresentadas, mas também prestar esclarecimentos ao demandante, seja ele titular de dados pessoais ou autoridade pública. Internamente, deve atuar orientando os colaboradores.

As atribuições gerais do DPO constam no art. 41, § 2º, da LGPD⁶, as quais são detalhadas nos tópicos a seguir:

Orientar a organização sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na LGPD e nas normas internas;

Informar a organização acerca de atualizações normativas que impactem em suas obrigações quanto à LGPD;

Promover o intercâmbio de informações sobre a proteção de dados pessoais em grupos de estudos e outras empresas do ramo;

Aconselhar a organização quanto à necessidade de confeccionar um Relatório de Impacto à Proteção de Dados (RIPD), inclusive sobre eventual necessidade de contratar terceiro para conduzir esta atividade, em caso de conflito de interesses;

Aconselhar a organização quanto à necessidade de confeccionar um relatório de avaliação de legítimo interesse, também conhecido como Legitimate Interests Assessment (LIA);

Aconselhar a organização quanto à necessidade auditorias internas, inclusive sobre eventual necessidade de contratar auditoria externa;

Aconselhar a organização quanto às salvaguardas (técnicas ou administrativas) aplicáveis à atividade de tratamento, a fim de mitigar satisfatoriamente os riscos relacionados aos direitos dos titulares;

Aconselhar a organização quanto às práticas de segurança da informação adotadas para proteção dos dados pessoais tratados.

Auxiliar a organização a manter um registro atualizado das atividades de tratamento de dados pessoais sob a responsabilidade da organização;

Oferecer aconselhamento em caso de incidente de segurança, bem com auxiliar no processo de resposta ao incidente e comunicações devidas;

Avaliar os mecanismos de tratamento e proteção dos dados e propor políticas estratégias e métricas para garantir a conformidade;

Executar planos de ação para garantir a implantação e a aderências a conformidade;

Documentar todas as decisões tomadas pela empresa no tocante a proteção de dados, em observância ou não a suas orientações.

Sua missão é criar uma verdadeira cultura de privacidade, para que haja respeito aos direitos dos titulares em todas as situações e, além disso, sejam evitadas sanções e condenações cíveis.

Note-se que a indicação do encarregado de dados não faz a responsabilidade do controlador desaparecer, já que ele é o controlador dos dados. O encarregado apenas responde se tiver atuado com culpa e dolo, mesmo sendo pessoa jurídica, pois o sistema de responsabilidade jurídica da LGPD é de natureza subjetiva⁷.

2.2 Etapas preliminares

Inicialmente, recomenda-se o estabelecimento de um cronograma de implementação, para que as atividades não sejam abandonadas em meio ao peso das tarefas cotidianas. É interessante também estabelecer alguma forma de métrica⁸ para medir o progresso.

A maioria das empresas pode iniciar seu projeto com uma reunião de kick-off. Trata-se de uma simples reunião para explicar o projeto, apresentar o cronograma, distribuir funções e sanar dúvidas iniciais. Quem participa desta reunião, em regra, é a equipe de implementação, o DPO e membros da alta administração (termo que em compliance significa o corpo diretivo da instituição).

Em empresas de maior porte – ou de ramos cuja regulamentação exija – pode ser necessária a criação de um Comitê Gestor de Proteção de Dados Pessoais (CGPDP).

A estrutura pode variar de acordo com a empresa, mas é recomendável sempre garantir que o CGPDP seja formado por uma equipe multidisciplinar e multisetorial, com participação do DPO e representantes de setores mais críticos (tais como RH, tecnologia da informação).

Também é importante que deste comitê da qual faça parte algum membro da alta administração da empresa, para manter a autoridade de suas deliberações, bem como o acesso direto ao board.

O CGPDP é responsável pela avaliação dos mecanismos de tratamento e proteção dos dados existentes e pela proposição de ações voltadas ao seu aperfeiçoamento.

As suas ações são sustentadas por um grupo de trabalho técnico, que possuem as seguintes atribuições específicas, tais como: (i) propor e manter processo de atendimento aos pedidos dos titulares dos dados pessoais; (ii) atender e solucionar demandas externas e internas relacionadas à LGPD; (iii) mapear atividades de tratamento que envolvam dados pessoais; (iv) desenvolver, realizar e atualizar políticas internas envolvendo proteção de dados pessoais; (v) promover as ações necessárias à execução de projetos para a adequação; (vi) conscientizar, divulgar e treinar todos os colaboradores.

2.3 Análise de riscos e plano de ação

Antes de iniciar a análise de riscos convém destacar as etapas preliminares do projeto, que variam de acordo com o porte da instituição e a regulamentação aplicável. A maioria das empresas pode iniciar seu projeto com uma reunião de kick-off, mas em outras pode ser necessária a criação de um comitê gestor de privacidade.

Após as etapas iniciais, a implementação da LGPD segue seu curso com o mapeamento de riscos, também conhecido como gap analyslis. Essa etapa não necessariamente precisa ser realizada pelo DPO, mas é recomendável que ele participe.

O objetivo é indicar o grau de conformidade atual da organização à LGPD, discriminando os principais riscos no tratamento de dados pela desconformidade (gaps) e recomendando as adequações necessárias para mitigar tais riscos.

Essas recomendações são dispostas em plano de ação que prioriza a solução das desconformidades com maior potencial de gerar prejuízos. A depender do porte e do tipo de atividade desempenhada pela organização, essa priorização