Artigo

O DPO revisitado

Sergio Pohlmann, consultor sobre a LGPD, aborda o papel e conhecimentos que o encarregado de dados deve ter para orientar uma organização na adequação à lei. Ele comenta ainda a relação entre este profissional e os de TI, Direito e Segurança da Informação, nesse processo

Ilustração com uma mulher à frente, segurando uma bandeira, e uma equipe atrás dela, seguindo a direção indicada por ela

 

31/10/2019

Muito já se falou, muitos flames e inimigos já foram criados a partir da interpretação das funções (e especialmente do suposto salário) do encarregado de dados. No momento, no qual o Congresso manteve o veto sobre a necessidade de conhecimento jurídico-regulatório, e outros detalhes "menores", acredito que vale a pena retornar ao assunto, mesmo correndo o risco de ser crucificado mais uma vez.

Primeiro, vamos tentar entender a sequência e os tropeços de criação de uma lei: de uma forma (muito) simplificada, os legisladores criam um projeto de lei, que vai para a presidência da República, a quem cabe promulgar a mesma, com a possibilidade de vetos. Um veto significa que a presidência considerou que alguma parte do texto proposto não deve fazer parte da lei.

No caso da Lei Geral de Proteção de Dados Pessoais, isto aconteceu na lei original (chamemos assim a nº 13.709/18, a LGPD que foi promulgada em 14 de agosto de 2018), com respeito à criação da ANPD, particularmente. Logo que promulgada a lei original, o presidente emitiu uma medida provisória (a MP nº 869) cuja função era adicionar alguns mecanismos à lei, incluindo a tal criação da ANPD da lei original. Não cabe aqui avaliar o porquê dos vetos. Só vamos fixar o olho nos fatos, certo?

Uma vez promulgada uma medida provisória, o Congresso deve avaliar a mesma, incluir pontos que achar necessários (emendas), enviá-la para o Senado, que a devolve votada, para que vá para a presidência da República, outra vez. Quando isto aconteceu com a MP nº 869, foram criadas quase 200 emendas. Apenas uma metade delas foi aceita pelo relator (o cara do Senado que se responsabiliza por "dar a cara", com a redação e a apresentação final da MP).

A medida provisória é então transformada em nova lei, pela presidência da República. Neste momento, a presidência pode, novamente, emitir vetos, cortando total ou parcialmente as emendas que foram propostas. Agora esta nova lei retorna ao Congresso (sim, de novo), para que sejam avaliados os vetos. Se o Congresso achar por bem anular algum veto, pode fazê-lo, mediante votação.

A LGPD teve vários vetos. Entre eles, nos interessa, especialmente, aqueles que se referem ao exercício da função de encarregado de dados, que normalmente chamamos de DPO, só para copiar os europeus, que possuem o seu Data Protection Officer, já que o nome oficial especificado na LGPD é, realmente, encarregado de dados (o brasileiro necessita uma sigla em inglês para achar que o cargo é mais importante).

O que dizem tais emendas e vetos? No caso do encarregado de dados, são aquelas "partes" relativas ao parágrafo 4º que copio, abaixo:

"§ 4º Com relação ao encarregado, o qual deverá ser detentor de conhecimento jurídico-regulatório e ser apto a prestar serviços especializados em proteção de dados, além do disposto neste artigo, a autoridade regulamentará:
I - os casos em que o operador deverá indicar encarregado;
II - a indicação de um único encarregado, desde que facilitado o seu acesso, por empresas ou entidades de um mesmo grupo econômico;
III - a garantia da autonomia técnica e profissional no exercício do cargo."

Observe que, aqui, fica muito clara a intenção de determinar a necessidade do conhecimento jurídico-regulatório para o encarregado. Muitos profissionais leem o texto acima e já afirmam, categoricamente, a necessidade de tal conhecimento por parte do encarregado. Em alguns casos, palestrantes e instrutores de cursos sobre a LGPD chegam a dizer que o encarregado deve possuir uma certificação oficial como DPO, para exercer sua função.

Gente, sejamos sensatos! Antes de afirmar algo assim, entre no portal do Congresso e acompanhe a tramitação completa da lei. O texto citado acima foi vetado pela presidência da República, quando da publicação da lei nº 13.853/19, que altera a lei original. E o veto diz o seguinte:

"A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico-regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial."

"Advogados terão muito serviço. Gente de TI terá muito serviço. Profissionais de Segurança da Informação terão muito serviço. E o encarregado? Também terá bastante serviço, senhores. Mas a função do encarregado só começa quando esses outros profissionais entendem e fazem a sua parte! Não coloquemos a 'carreta em frente dos bois' "

Não vem ao caso o mérito da questão. Não sou um profissional do Direito, nem um jurista, para analisar se a emenda ou o veto são ou não coerentes. Isso não vem ao caso. Como profissional da área da LGPD e da Segurança da Informação, interessa saber o fato. O que vale, para nós, neste momento.

Pois bem, o Congresso reavaliou os vetos presidenciais no fim de setembro de 2019 e, no que diz respeito ao veto anteriormente citado, referente ao encarregado de dados, o manteve, na íntegra. Isto significa que, hoje, o encarregado de dados não necessita conhecimento jurídico-regulatório, nem certificação alguma.

Não estou dizendo que os cursos e certificações são inválidos. De forma alguma. Cursos e certificações são de extrema importância para o mercado de trabalho, sem nenhuma dúvida. Qualquer profissional que possa realizar treinamentos, especializações, e conseguir certificações específicas sobre sua área, será muito mais valorizado no mercado de trabalho. Mas afirmar que a certificação é obrigatória é, minimamente, desonesto, de parte de quem o afirma.

Na verdade, sabemos que muitos mercados proliferarão neste "caldo de culturas" gerado pela nova lei. Sempre é assim. Uns choram e outros vendem lenços de papel. Agora você verá hordas de vendedores ofertando firewall, discos, programas e dispositivos para WI-FI, que "solucionarão seu problema com a LGPD". Assim como verá uma enorme quantidade de cursos de DPO (assim mesmo se chamam os cursos que já estão no mercado), que o prepararão para uma carreira meteórica com salários de até R$ R$ 50 mil mensais. Isso é ironia, ok? Não estou endossando nada disso.

Os salários do encarregado serão determinados pelo mercado. Se alguém quiser contratar-me por R$ 50 mil, eu não farei objeções, mas este, definitivamente, não será o valor do mercado.

Uma andorinha só não faz verão

Quem vai ter as maiores dores de cabeça com a LGPD serão, sem nenhuma dúvida, os profissionais de Segurança da Informação, seguidos dos profissionais de TI e, logo depois, dos profissionais de Direito. É só a minha opinião, mas você pode tentar entendê-la: os profissionais de Direito terão de revisar contratos, documentos e procedimentos, de forma que estes se adaptem, com urgência, aos rigores da nova lei; os profissionais de TI terão que adaptar infraestrutura e sistemas para cumprir as exigências. Isso tomará muito tempo, e bastante dinheiro deverá ser investido, em hardware, software e em treinamento de pessoal; e os profissionais de Segurança da Informação terão que coordenar tudo isto. Porque todos os pontos tocados pela LGPD, independentemente se estão na área do Direito, do software, do hardware, ou do papel que o funcionário usa para anotar algo, devem estar aplicados no âmbito da Segurança da Informação.

Ao afirmar isso, não diminuo o mérito de ninguém. Advogados terão muito serviço. Gente de TI terá muito serviço. Profissionais de Segurança da Informação terão muito serviço. E o encarregado? Também terá bastante serviço, senhores. Mas a função do encarregado só começa quando esses outros profissionais entendem e fazem a sua parte! Não coloquemos a "carreta em frente dos bois".

Se você é o encarregado de dados de uma empresa, ou se está se preparando para sê-lo, parabéns. Será um dos novos profissionais em uma área nova. Isso é ótimo! E estude muito, porque vai ser necessário.

Se você é profissional de Direito, TI, ou Segurança da Informação, dedique o máximo de seu tempo em acumular conhecimento, porque a LGPD está no seu colo, e você será o responsável por uma grande parcela (senão o todo, em muitas empresas) do trabalho de adequação. Estude muito, porque vai ser necessário.

Você ainda têm dúvidas? Todos temos. Busque a lei e leia, detalhadamente, o artigo 41. Lá estão as definições e atribuições do encarregado de dados (o grifo é do autor):

"Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados."

Conselho adicional: vá no site do governo e leia a lei. Na fonte! Leia e interprete. Releia, se for necessário. Também existem bons livros sobre o assunto. Aprendi a ler quando era criança e me ensinaram que, para compreender um texto, é necessário, primeiro, ler, depois interpretar. Se você chegou até aqui é porque já leu o artigo. Então, por favor, não me interprete mal! Se tiver dúvidas sobre o que digo, leia de novo. Ou me escreva*, que estarei sempre aberto a críticas, observações e sugestões.

*é possível escrever para o autor por meio do lgpd@serpro.gov.br

É profissional da área de Engenharia da Computação, Segurança da Informação, GDPR e LGPD, com várias certificações de segurança internacionais, como a Chief Information Security Officer (CISO), pela EC-Council, e a Certified Security Systems Professional (CISSP), pela (ISC)². É professor e docente universitário em diversos eventos e universidades internacionais do Mercosul. Atualmente, trabalha na LGPD Ninja, como consultor profissional, em consultorias e auditorias de conformidade com a LGPD. Desenvolveu um dos primeiros frameworks para a implementação da lei no Brasil, tendo escrito um livro (LGPD Ninja), também sobre a LGPD.

 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação