Por Bruno Bioni* e Renato Leite Monteiro**
O Brasil atualmente discute a promulgação de uma Lei Geral de Proteção de Dados Pessoais. Esta lei terá aplicação multissetorial, transversal, em toda a sociedade, nos serviços e tecnologias online ou offline. Uma das obrigações que serão impostas aos responsáveis pelo tratamento e processamento de dados pessoais, organizações públicas ou privadas, será a indicação do Data Protection Officer (DPO), conceito anglicano que foi traduzido como a figura do “encarregado”, conforme definição presente no Projeto de Lei 5276/2016, atualmente em trâmite na Câmara dos Deputados.
Para fins comparativo, para que as empresas europeias tenham que se adequar a General Data Protection Regulation (GPDR), que entrará em vigor em maio de 2018, estima-se que será necessário a contratação de cerca de 28.000 DPOs. No Brasil não será muito diferente, devido ao tamanho do mercado nacional. Todavia, infelizmente, hoje, são poucos os profissionais com o conhecimento e habilidades necessárias para exercer tal função no país. Portanto, é necessário investir agora em treinamento. Organizações e profissionais que estiverem preparados terão um diferencial em um ambiente altamente competitivo.
O que é um Data Protection Officer (DPO)
O DPO é a pessoa que atuará como canal de comunicação perante os titulares dos dados pessoais e aos órgãos reguladores. Ele deverá supervisionar todas as práticas de tratamento de dados pessoais dentro da organização e verificar se estas estão em conformidade com a futura Lei Geral e setoriais de proteção de dados pessoais.
Para isso, o DPO deverá ter condições de realizar Privacy Impact Assessments (PIA), relatórios de impacto à privacidade e proteção de dados pessoais decorrente das atividades dentro da organização. O DPO deverá, também, estar diretamente envolvido no desenvolvimento de produtos, serviços e na formulação de políticas públicas para que a proteção da privacidade seja delas um valor de concepção, por meio de metodologias conhecidas como privacy by design e data protection by design.
Quando e quem precisa de um DPO?
Muito embora atualmente ainda não haja exigência legal, a figura do DPO mostra-se necessária para toda e qualquer organização que processa dados pessoais. É cada vez mais recorrente a atuação de órgãos reguladores e do Poder Judiciário no que diz respeito à aplicação e fiscalização das leis setoriais de proteção de dados pessoais, como, por exemplo, do Marco Civil da Internet, Cadastro Positivo, normativas do setor financeiro, de saúde e de relações de consumo de forma mais ampla.
Com a possível promulgação de uma lei geral de proteção de dados pessoais, o responsável pelo tratamento dos dados pessoais, seja entidade pública (Art. 23) ou privada (Art. 41), terá a obrigação legal de apontar um DPO. A identidade e as informações de contato do DPO deverão ser divulgadas publicamente de forma clara e objetiva, preferencialmente no sítio eletrônico da empresa.
A Autoridade de Proteção de Dados poderá listar hipóteses de dispensa da necessidade de indicação de um DPO, conforme a natureza e o porte da empresa ou o volume de operações de tratamento de dados.
Quais são as responsabilidade de um DPO?
As atividade de um DPO consistirão, basicamente, em:
- receber reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências;
- receber comunicações de órgãos reguladores e adotar as providências cabíveis;
- orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- treinar os funcionários envolvidos no tratamento de dados pessoais;
- realizar Privacy Impact Assessments (PIA) para averiguar o risco no uso de dados pessoais e a conformidade regulatória da empresa;
- manter registros de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas (Data Mapping);
- Auxiliar no desenvolvimento de produtos, serviços e práticas por meio da adoção de metodologias como privacy by design e data protection by design.
Ademais, a Autoridade de Proteção de Dados poderá estabelecer normas complementares sobre a definição e as atribuições do DPO, que também pode receber funções extras definidas pela própria empresa e/ou normas internacionais, como General Data Protection Regulation (GDPR) da União Europeia, que, como mencionado, já entrará em vigor em maio de 2018.
Como se qualificar para ser um DPO?
O DPO tem que ser um especialista em leis e práticas de proteção de dados pessoais às quais a organização está sujeita, principalmente, mas não exclusivamente, às regras definidas pela Lei Geral de Proteção de Dados Pessoais. Mas não basta ter o conhecimento jurídico. Será necessário ter, também, conhecimento técnico e um bom relacionamento com diferentes áreas de organização e com os reguladores. O DPO requer, portanto, um perfil multifacetado, devendo ser capaz de acompanhar todo o ciclo de vida de informação dentro de uma organização. Para isso, importante conhecer o trabalho do Data Privacy Brasil.
Data Privacy Brasil
O Data Privacy Brasil (DP.br) tem como objetivo promover a produção de conhecimento sobre o impacto das tecnologias da informação sobre a privacidade e a proteção de dados pessoais. Nesse contexto, o DP.br tem como uma das suas missões promover a realização de cursos que alinham abordagens práticas e teóricas sobre privacidade e proteção de dados pessoais. O objetivo é difundir o conhecimento dessa agenda com a comunidade, visando a qualificação e a formação de profissionais envolvidos na governança de tecnologias de informação que impactam o desenvolvimento socioeconômico no setor público e privado.
Proteção de Dados Pessoais e Privacidade: aplicação prática no seu negócio e em políticas públicas
Em parceria com a Universidade Presbiteriana Mackenzie o Data Privacy Brasil promoverá um curso de extensão específico sobre privacidade e proteção de dados pessoais com carga horária de 32 hrs.
Serão 08 aulas aos sábados (20/01/2018 à 17/03/2018). O plano de aulas e a metodologia do curso foram desenhados para combinar o conhecimento teórico ao prático. Com essa proposta, serão analisadas a estruturação de modelos de negócios e políticas públicas baseadas em dados. Da regulamentação do Uber em São Paulo, à legalidade do sistema de credit scoring, bloqueio de aplicações (como do WhatsApp), simulação de implementação de programas corporativos de proteção de dados pessoais (compliance), data protection assessment (PIA e DPIA) são alguns dos casos e atividades dos 08 (oito) encontros de curso.
Você pode conferir o programa e outras informações na página do DP.br aqui: http://dataprivacy.com.br/
*Bruno Bioni
Mestre com louvor em Direito Civil na Faculdade de Direito da Universidade de São Paulo (2016), pós-graduado em Direito Civil e Consumidor pela Escola Paulista de Direito (2013) e graduado em Direito pelo Centro Universitário das Faculdades Metropolitanas Unidas (2012). Foi study visitor do Departamento de Proteção de Dados Pessoais do Conselho da Europa (2015) e pesquisador visitante no Centro de Pesquisa de Direito, Tecnologia e Sociedade da Faculdade de Direito da Universidade de Ottawa (2014-2015). Atualmente é pesquisador do Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade e advogado do Núcleo de Informação e Coordenação do Ponto Br/NIC.br. É também professor-orientador na Pós-Graduação de Propriedade Intelectual e Novos Negócios da FGV-SP e professor-convidado do LLM de Direito Civil da Faculdade de Direito de Ribeirão Preto da Universidade de São Paulo.
**Renato Leite Monteiro
Especialista em Proteção de Dados e Privacidade. Professor de Direito Digital e Internacional da Faculdade de Direito da Universidade Presbiteriana Mackenzie. Coordenador do Grupo de Estudos em Direito, Tecnologia e Inovação da Faculdade de Direito do Mackenzie. Doutorando em Engenharia da Computação pela Universidade de São Paulo. LL.M. em Direito e Tecnologia pela New York University e pela National University of Singapore. Mestre em Direito Constitucional pela UFC. Study visitor do Departamento de Proteção de Dados Pessoais do Conselho da Europa.