Tomada de subsídios sobre o DPO: Bloco 1, Pergunta 2

Como se sabe, a Autoridade Nacional de Proteção de Dados (ANPD) irá realizar tomada de subsídios, por meio de reuniões técnicas, restritas a convidados, para debater sobre a atuação do encarregado pelo tratamento de dados pessoais. É o que chamei no título de “Tomada de subsídios sobre o DPO”.

Para tal, a ANPD divulgou inúmeras questões em seu site, sendo estas questões divididas em 5 blocos diferentes: 1 – Características e atribuições; 2 – Formas de atuação do encarregado; 3 – Terceirização e responsabilização; 4 – Informação de contato do encarregado, dispensa e flexibilização de indicação do encarregado; e 5 – Setor público. Os blocos são divididos em algumas rodadas, sendo que as reuniões expositivas ocorrerão nos dias 5 a 7 de abril de 2022.

Buscando contribuir com o debate, irei apresentar, em uma série de postagens, as minhas respostas a quase todas as questões. A proposta é gerar debate sobre as perguntas que a ANPD disponibilizou. Além disso, é interessante levantar a discussão a respeito de pontos relevantes que dizem respeito à atuação do encarregado pela proteção de dados no Brasil.

Sendo assim, sem demoras, segue abaixo a minha resposta à seguinte pergunta:

Bloco 1, Pergunta 2: Deveria haver critérios para que a pessoa possa ser designada como encarregado? Por exemplo, formação mínima (qualificação e habilidades), experiência profissional, mecanismos formais para atestar tais conhecimentos, dentre outros. Justifique.

Resposta: No que concerne à formação, não deve haver nenhum tipo de exigência mínima específica para o exercício da função de encarregado de proteção de dados (EPD).

O que se sugere é uma exigência mínima geral, no sentido de que a pessoa precisa ter alguma formação de nível superior.

Porém, estabelecer áreas específicas de formação (provavelmente Administração/Gestão, Direito e/ou Tecnologia da Informação) é contraproducente em termos de exercício das funções do EPD.

Ainda que tal embasamento acadêmico seja eventualmente útil na atuação do EPD, a pessoa que exerce esta função não estará necessariamente vinculada a funções que demandem estas formações.

A experiência europeia mostra que inúmeros EPDs não são da área de gestão, jurídica e/ou técnica e desempenham suas funções com zelo, eficiência e eficácia.

Por sua vez, em termos de experiência profissional também não há que se falar em exigência mínima de “X” anos de trabalho nesta área. Isto basicamente por 2 motivos:

  • Estar-se-ia gerando, nesta situação, uma eventual reserva de mercado, com intromissão direta do poder público (representado pela ANPD) nos interesses dos agentes de tratamento, limitando suas opções de escolha em termos do profissional que ela deseja para exercer a função;
  • É necessário aplicar o princípio da “responsabilização e prestação de contas” existente na LGPD também nesta situação, de maneira que compete ao agente de tratamento cumprir com este princípio também no momento de designação do EPD.

Por fim, também não se vê justificada a necessidade de exigência de mecanismos que atestem a experIência profissional (como, por exemplo, certificações diversas). Isto porque novamente indica-se a existência de inúmeros EPDs altamente qualificados que não têm nenhuma certificação.

A certificação, sem dúvida alguma, é extremamente positiva e deve ser procurada pelo profissional de proteção de dados, mas não pode ser imposta ou exigida formalmente sob risco, novamente, de intrusão no interesse das empresas, por um lado, e porque é responsabilidade do agente de tratamento cumprir com o princípio da “responsabilização e prestação de contas”, por outro.


Você concorda ou discorda?

E você, o que pensa a respeito desta pergunta? Quais seriam as suas contribuições para esta pergunta da tomada de subsídios sobre o DPO? Quais são suas sugestões considerando-se os critérios para a designação de uma pessoa como encarregado? Deixe abaixo seus comentários e participe!

8 comentários em “Tomada de subsídios sobre o DPO: Bloco 1, Pergunta 2”

  1. Discordo da necessidade de exigências como formação acadêmica.
    Por ser uma atividade multidisciplinar ainda não há, pelo menos desconheço, cursos de formações em grau solicitado de cursos registrados pelo ME, então caberia às empresas a contratação dos profissionais mediante CV.
    E como tenho visto, nos avisos de recrutamento e seleção, “certificações e treinamentos serão considerados diferenciais”

    • Olá Paulo,

      A ideia é extamente esta: não faz sentido cobrar uma formação acadêmica específica devido à ausência de parâmetros por enquanto – fora a questão de ser multidisciplinar, como você bem indicou.

      E as certificações, sem dúvida, podem ser diferenciais, mas também não vejo como serem exigidas!

  2. Olá a TODOS!

    Sobre esta questão, concordo com os posicionamentos do Paulo Afonso da Silva.

    Também sobre este assunto, sugiro a leitura dos documentos listados abaixo. Neles, nenhuma das instituições listadas/citadas faz exigências quanto a uma qualificação acadêmica para DPO´s.

    Pessoalmente, tenho 67 anos de idade e 47 anos de atuação, ampla e muito densa, em áreas tecnológicas e empresariais diversas, tais como, maturidade de processos, desenvolvimento de software, desenho de processos, GRC & Enforcement, gerência de projetos ágeis e pragmáticos (PMI) e mais outro tanto de matérias complexas. Todavia, até hoje não tenho diploma de curso superior. Para mim, experiência, muito estudo, dedicação, bom senso e conhecimento pertinente nos diversos assuntos com que já trabalhei e trabalho são fatores que nada ficam a dever a um certificado ou a uma formação superior formal sem nenhuma experiência ou proatividade.
    Sou de uma época na qual não tínhamos metodologias ou receitas de bolo prontas. Não; nós tínhamos que estudar muito e achar soluções efetivas. Estas, sim – com o decorrer do tempo e dos ajustes das suas aplicações nos objetos/situações reais -, se transformavam em metodologias sempre evolutivas. Claro que não vou desenvolver aqui toda uma exegese sobre o assunto. Basta o que já escrevi para explicar o porque estou “compliant” com o Paulo Afonso.

    Sobre a ANPD neste assunto, creio que ela estará dando “um tiro no pé” se tomar uma decisão de exigir das empresas “certificados” ou diplomas de formação acadêmica dos seus Encarregados de Dados. Isso, sim, será uma reserva de mercado e um balde de água fria em muitas empresas. Todavia, pelas várias demonstrações de bom senso que vi da ANPD desde a sua criação até agora, não acredito que ela criará exigências que possam interferir diretamente na gestão e tomada de decisões das empresas/organizações.

    Logo que tive conhecimento da chamada pública, há alguns dias atrás, tentei me inscrever para poder me manifestar sobre o assunto, mas como não tenho curso superior, sequer consegui fazer a inscrição.

    Afora isso, qualquer pessoa um pouco mais atenta e interessada no assunto LGPD (e não estou falando no assunto Privacidade!) já deve ter notado que existem grupos e pessoas “forçando a barra” para que possíveis normativas da ANPD lhes atendam completamente quanto às questões de uma possível “reserva de mercado”. Assistindo a algumas chamadas públicas da ANPD, fiquei realmente horrorizado com alguns grupos que, gratuitamente, de forma muito mal educada (no meu ponto de vista!) exigiam e eram ríspidos com a entidade, chegando até a declarar que denunciariam a ANPD em órgãos internacionais, caso determinadas situações que não lhes fosse conveniente ou que lhes fosse desfavorável viesse a ocorrer ou ser estabelecida. Inacreditável!

    Bem… acho que já falei demais. Espero ter contribuído com algo útil e que traga significado às pessoas interessadas.

    Um abraço a todos.
    Aruanan Avelino

  3. Oi Matheus, parabéns pela iniciativa do projeto.

    Sobre a questão acima, entendo que a exigência de formação específica e/ou de experiência mínima nesse momento se mostra desarrazoada também pela falta de maturidade do nosso ecossistema de proteção de dados.

    Acredito que em alguns anos, será interessante revisitar esse ponto, não no sentido de limitar as áreas de formação mas para pensar em qualificações mínimas e critérios objetivos que podem direcionar a melhor atuação de profissionais que decidirem se dedicar ao tema privacidade e proteção de dados.

    No futuro isso pode ser um diferencial ! Mas é apenas uma opinião!!!

  4. Olá, Matheus! Tudo bem?

    Eu vejo da seguinte forma. Comparar a União Europeia onde se aplica a GDPR com o Brasil é complicado, pois o nível educacional lá é outro. Aqui no Brasil costumo agendar uma palestra antes com os colaboradores da empresa que contratou o serviço para nivelar o conhecimento sobre a LGPD. Todas que eu participei até o momento não tinham uma pessoa prontamente qualificada para tratar assuntos básicos com a ANPD em uma eventual auditoria ou acionamento.

    Procedimentos para mapeamento de dados, inventário e informações fundamentais, tanto técnica como jurídica, seriam necessários para elaborar uma política de privacidade. Na minha opinião seria interessante exigir uma formação básica. Como os seus cursos, por exemplo.

    No âmbito da certificação eu já concordo que é inviável obrigar, pois como você mesmo colocou, além da intromissão, seria restringir muito as possibilidades, levando em consideração o alto valor financeiro que precisa investir para adquirir os certificados. Muitos não conseguem fazer este investimento.

    • Olá Alan, obrigado pelo seu comentário. Olha, só não ache que na Europa a coisa é muito diferente do Brasil, porque não é. Claro que há alguns anos a mais de avanço e de conhecimento, mas não são todas as empresas que têm alguém capaz de atuar junto às autoridades… Muitas vezes pessoas da própria área de privacidade das empresas respondem absurdos sobre o tema. Inclusive vou trazer aqui no site, em breve, um exemplo claro disso! Obrigado pela participação e tomara que todo mundo faça meus cursos rsrsrs. Abraços!

Os comentários estão encerrado.