Esta é uma das perguntas que mais recebo nas minhas aulas, Oficinas de Privacidade, Maratonas de Proteção de Dados e, é claro, no meu Curso Prático de DPO. Afinal, o DPO deve realizar projeto de adequação à LGPD? Para responder a esta pergunta vamos dar uma olhadinha em 2 documentos principais:
Mas antes disso, não se esqueça de que um “Programa de Governança em Privacidade” (um termo presente na LGPD que corresponde ao “projeto de adequação à LGPD”) é uma responsabilidade do controlador, conforme explícito no § 2º do Art. 50 da Lei Geral de Proteção de Dados (em conjunto com seu inciso I):
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei [a LGPD], o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá […] I - implementar programa de governança em privacidade […].
Vamos então aos documentos indicados acima.
O que diz a LGPD sobre o DPO?
Como já é de conhecimento comum, a LGPD trata do encarregado (aqui chamado de DPO apenas para facilitar a digitação) em dois momentos. O primeiro deles é na definição presente no inciso VIII do Art. 5º, onde se lê que encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
O segundo momento aparece no Art. 41, na Seção II do Capítulo VI da LGPD, que traz o seguinte texto:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Vamos por partes.
Arrisco-me a dizer que a definição presente no inciso VIII do Art. 5º é superficial, já que fala muita coisa sem dizer nada. Primeiro porque o texto em si é simples de ser entendido (“canal de comunicação” entre 3 partes distintas). Segundo porque a definição em si não se relaciona organicamente com o que está presente no Art. 41. O importante a reter da definição é que “o encarregado não é um mero relações públicas do agente de tratamento” (Lei geral de proteção de dados pessoais comentada [livro eletrônico] / Márcio Cots e Ricardo Oliveira. 4. ed. São Paulo: Thomson Reuters Brasil, 2021).
E assim o é porque o § 2º do Art. 41 traz indicações claras referentes às atribuições do DPO. Desta forma, compete ao DPO solucionar as demandas que receber dos titulares e/ou da ANPD (incisos I e II), orientar os funcionários sobre proteção de dados (inciso III) – que, para mim, é a função essencial do DPO – e, por fim, realizar “outras atividades” determinadas pelo controlador (inciso IV – que é a jabuticaba brasileira, como não poderia deixar de existir).
Focando-me aqui no inciso III, percebe-se que a redação da LGPD fala em “orientar […] a respeito das práticas a serem tomadas em relação à proteção de dados pessoais”. E, voltando para o básico – ou seja, para o dicionário –, vemos que “orientar” significa “mostrar a direção a ser seguida”, “dar um rumo” ou ainda “administrar a orientação sobre algo”.
Nenhuma destas definições fala em “tomar decisões”. Nenhuma destas decisões deixa subentendida a possibilidade de se “bater o martelo” com a decisão final a respeito de algo. Todas estas definições indicam que “orientar” é sinônimo de “informar”, de “aconselhar”, e não de “decidir”.
Estes pontos, em conjunto com o já citado § 2º do Art. 50 da LGPD, parecem sustentar que o DPO não é responsável pela criação de um Programa de Governança em Privacidade – ou seja, não é o responsável por criar o projeto de adequação à LGPD.
Ah, Matheus, mas o inciso IV do § 2º do Art. 41 da LGPD fala que o DPO irá “executar as demais atribuições determinadas pelo controlador” – e o controlador pode deixar o Programa de Governança em Privacidade nas mãos do DPO.
Verdade. E é aí que entra o 2º documento, o Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado.
O Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado
O Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado (apenas “Guia” daqui em diante – cansa digitar o nome completo do documento!) não entra em detalhes a respeito do conteúdo do inciso IV do § 2º do Art. 41 da LGPD. Ou seja, não dá nem uma palhinha a respeito do que podem ser estas “demais atribuições determinadas pelo controlador” e nem indica que direção seguir com a interpretação deste inciso especificamente.
Viu Matheus, então o DPO pode fazer tudo!
Calma lá, jovem Padawan. Não é bem assim.
O Guia pode não falar diretamente sobre estas “outras atribuições”, mas indica um possível rumo a ser seguido: o da garantia da autonomia do DPO frente ao controlador. O Guia traz o seguinte texto em seu ponto 75:
Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições.
E o ponto 70 diz que “o encarregado pode desempenhar um importante papel de fomentar e disseminar a cultura da proteção de dados pessoais na organização”.
E qual a relação de um com o outro? Ora, em consonância com o que já foi dito sobre o verbo “orientar”, o DPO irá fomentar e disseminar a cultura da proteção de dados na organização (ponto 70) por meio do exercício livre de suas funções (ponto 75) baseado nos recursos humanos, temporais, financeiros e de infraestrutura garantidos a si pela organização (os recursos são mencionados no ponto 76 do Guia).
E o que isso tem a ver a respeito da relação do DPO com o Programa de Governança em Privacidade?
Vou responder com uma pergunta: você acha que um DPO vai ter liberdade para criar um Programa de Governança em Privacidade do jeito que ele bem entender? Um DPO vai conseguir criar o Programa de Governança em Privacidade “perfeito”, considerando-se todas as exigências da LGPD e voltado necessariamente para o titular em primeiro lugar? Eu sinceramente acho que não.
Um Programa de Governança em Privacidade é (idealmente) apenas um dos programas de gestão dentro de uma empresa. Ou seja, ele não existe “porque sim”. Ele não existe de maneira “solta” dentro da estrutura organizacional de uma empresa. Ele existe – ou deve existir – diretamente interligado a outros programas de gestão da empresa, como por exemplo o Sistema de Gestão da Segurança da Informação (SGSI).
Mas definir (corretamente) que o Programa de Governança em Privacidade está interligado a outros programas de gestão da empresa significa dizer que quem o criar irá fazê-lo seguindo as decisões de alguém. E este alguém não poderá ser o DPO porque o DPO precisa de liberdade para realizar as suas atribuições, como diz a ANPD. O DPO está ali para orientar a empresa em relação às práticas a serem tomadas em relação à proteção de dados pessoais. O DPO não está em uma empresa para tomar decisões – até porque esta atribuição é do controlador, como está explícito no inciso VI do Art. 5º da LGPD.
Mas Matheus, o inciso VI do Art. 5º da LGPD fala que o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” – e o Programa de Governança em Privacidade não é uma atividade de tratamento de dados pessoais!
Bom, aí podemos ter opiniões diferentes, porque para mim o Programa de Governança em Privacidade trata dados pessoais e as decisões competem, portanto, ao controlador. Mas mesmo considerando-se que o Programa de Governança em Privacidade não trate dados pessoais, faço a seguinte pergunta: como poderá o DPO apenas orientar – no sentido explicitado acima – se ele também tomar as decisões sobre algo?
Pode um pai falar assim, “filho, te recomendo que você faça X porque assim será melhor para sua vida”, e ao mesmo tempo dizer “filho, faça assim porque estou decidindo que será assim”? Pode um pai dizer “estou apenas te orientando, mas também estou apenas decidindo por você”?
É por isso que quando me perguntam se o DPO deve realizar projeto de adequação à LGPD, a minha resposta, invariavelmente, é não. Eu não considero que um DPO deva ser responsável por criar um Programa de Governança em Privacidade. Eu considero que o DPO deva ser responsável por realizar as devidas orientações referentes a questões de proteção de dados sem, contudo, tomar as decisões referentes à estrutura do próprio Programa de Governança em Privacidade.
Até mesmo porque entendo que a interpretação da LGPD não pode ser literal, artigo por artigo, alínea por alínea, mas sim integrada, compreendendo suas partes no contexto geral da própria lei e não de maneira separada, como algumas pessoas fazem. E, além disso, como poderá o DPO ter autonomia e independência em relação à própria estrutura do Programa de Governança em Privacidade se ele tiver criado tal Programa? Se o DPO criar o Programa de Governança em Privacidade, como este Programa poderá ser avaliado pelo próprio DPO? Faz sentido você criar algo pela manhã e, pela tarde, dizer que o que você criou de manhã está errado ou não faz sentido? O conflito de interesse aqui é explícito – e se houver qualquer conflito de interesse, significa dizer que o DPO não é autônomo e não tem liberdade para atuar.
Portanto, em síntese, defendo que a interpretação dos artigos da LGPD sobre o DPO e do atual Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado leva à conclusão de que o DPO não deve criar o Programa de Governança em Privacidade – ou seja, o DPO não deve ser a pessoa responsável por criar o “projeto de adequação à LGPD”.
O que, obviamente, não significa dizer que o DPO não possa colaborar com a criação do Programa de Governança em Privacidade. Pelo contrário: o DPO pode – e deve – orientar o controlador a respeito do desenvolvimento, implementação, manutenção e monitoramento de um programa amplo de privacidade e governança da organização para assegurar a conformidade com todas as leis e regulamentações aplicáveis relacionadas ao tratamento de dados pessoais.
O DPO deve realizar projeto de adequação à LGPD? Não. Quem então vai criar o Programa de Governança em Privacidade? Na minha visão, o Gestor de Privacidade. Porque esta é uma função que, independentemente do nome, estará “do lado” do controlador. Ou seja, o Gestor de Privacidade é alguém que ficará responsável por concretizar, na forma do Programa de Governança em Privacidade, a visão estratégica do controlador sobre a privacidade – e o DPO, por sua vez, fica mais voltado, de certa forma, à defesa dos interesses dos titulares dentro da organização.
E você, o que acha sobre o tema? O DPO deve realizar projeto de adequação à LGPD? Deixe abaixo seus comentários e vamos debater sobre o tema!
Concordo com o texto, muito bem explicado e detalhado! Tenho a impressão de que faltou na lei a menção a um outro possível agente, o Gestor/consultor de Privacidade. O controlador, na maioria das vezes, nem sabe o que é um projeto de adequação e não tem nem ideia do que são as exigências da LGPD. O DPO, por sua vez, apesar de conhecer bem os dizeres da lei, não pode, sob pena de configurar conflito de interesses, participar da elaboração do projeto de adequação, se ele próprio seria o responsável pela fiscalização desse projeto, com a obrigação de comunicar a autoridade em caso de incidentes. Por acaso ele teria isenção de ânimo para isso? O que vemos na prática é a atuação do DPO como um coringa, responsável por fazer tudo e mais um pouco, com inúmeras responsabilidades. Soma-se às definições da LGPD e às atribuições do Guia da ANPD, a definição do cargo descrita no CBO, recentemente publicado, e teremos uma sopa de letrinhas, com diversas interpretações perigosas pelo caminho. Acho que a ANPD está com um grande pepino para descascar em relação à definição das atribuições do DPO. Nos resta aguardar o posicionamento.
Não poderia concordar mais com o que você escreveu. Realmente é bastante complicada esta situação, especialmente devido ao desconhecimento (praticamente) generalizado sobre o DPO, suas funções etc. Realmente a ANPD terá um bom trabalho para solucionar estas questões. Espero que o façam de maneira coerente com o que se espera!
Matheus, impecável, didático e extremamente proveitoso o seu artigo. Parabéns pela excelência de sempre!
Matheus, muito boa e necessária reflexão. 🙂
Inegável, todavia, que como o colega acima pontuou, o desconhecimento no âmbito empresarial é grande a respeito das funções/atribuições do DPO.
Também é verdade que essa primeira onda de profissionais dpo estão enfrentando “criação de cultura” de privacidade nos seus ambitos de atuação e, por isso, acabam assumindo (na falta de outro profissional) essa função de gestor de projeto do SGPD.
Em verdade vai um tempo até às empresas terem essa maturidade, de segregação das funções, sobretudo as empresas menores.
Enquanto isso, os DPO estão lutando nas suas tão necessárias “softskills”, para dar conta de tudo… Abraço!
Sem dúvida, a falta de cultura é preocupante. Mas o texto é também direcionado aos próprios DPOs, para que conheçam os limites de sua atuação profissional – até mesmo por questões de responsabilidade “se a coisa der errado“. Abraços!