LGPD cria a profissão DPO – Data Protection Officer

  • Mariana Machado Pedroso - 03 junho, 2019 - Artigos


Ante a universalização do acesso aos meios digitais decorrente da proliferação dos usos e facilidades propiciados pela internet, necessário se fez a regulação das transmissões de dados, sobretudo face ao alcance da disseminação das informações por meios digitais.

Diante desse quadro foi promulgada em 14 de agosto de 2018 a Lei Federal nº 13.709, que tem a difícil missão de dispor sobre a proteção de dados pessoais. Tal lei, também conhecida por Lei Geral de Proteção de Dados (LGPD), foi posteriormente alterada pela Medida Provisória nº 869/2018.

Neste cenário, a partir da vigência da mencionada lei — que poderá ocorrer em fevereiro de 2020, tal qual previsão inicialmente apresentada (18 meses após a publicação ocorrida em 14/8/2018) ou em agosto de 2020, conforme previsão trazida pela MP 869/18 — será possível responsabilizar pessoas físicas e empresas, privadas ou públicas, pela má-utilização dos dados pessoais acessados.

Para a efetivação das práticas expostas na referida lei em inegável inspiração no arcabouço legal europeu, foi criada a figura do “Encarregado pelo Tratamento de Dados Pessoais”, mais conhecido como Data Protection Officer (DPO).

O DPO, de acordo com a lei, deveria ser uma pessoa natural, característica que foi flexibilizada pela MP 869/18 que excluiu a palavra “natural”, e será responsável por difundir a cultura de se proteger todos os dados pessoais, estejam eles em meios digitais ou “em papel”.

Também será o DPO o responsável por interagir com a Autoridade Nacional de Proteção de Dados — criada pela MP 869 —, que é o órgão da administração pública que terá a responsabilidade de zelar, implementar e fiscalizar o cumprimento da LGPD.

No entanto, sob o aspecto trabalhista, essa nova função ensejará alguns entraves que somente ao longo do tempo encontrarão respostas nos julgados que ocorrerem. Este, aliás, foi um dos temas do seminário “A Lei Geral de Proteção de Dados – A Teoria na Prática”, que reuniu dia 21 de maio, em São Paulo, especialistas brasileiros e estrangeiros.

De início, tem-se que é inerente ao desenvolvimento da própria função um grau de autonomia que não é comum vislumbrar nas relações de emprego, e tal autonomia poderá — ou não — colidir com os princípios da relação de emprego, sobretudo o da subordinação. Isso porque estará esse empregado vinculado ao mais alto grau hierárquico.

Exemplo dessa autonomia é o rol de atividades deste profissional expressamente insertos na LGPD: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O profissional será, sem sombra de dúvida, o responsável por administrar todo o fluxo de informações, desde sua coleta até o seu tratamento, ou seja, será um fiscal interno. E quando algo ocorrer em desacordo com o que a LGPD determina, também será ele o responsável por realizar os reparos necessários para adequar a empresa à legislação brasileira.

Ainda, sendo ele o responsável pela segurança dos dados pessoais a que porventura tenha a empresa acesso, não há dúvidas de que sua disponibilidade poderá incompatibilizar o cumprimento da jornada constitucional de trabalho. E há que se ressaltar que mesmo detendo o DPO cargo de confiança em razão da elevada fidúcia, tal fato não desonera o empregador de observar os limites de jornada impostos. Aqui se observa o primeiro problema com a inserção desse profissional no quadro legal vigente no Brasil, o que poderá, inclusive, contribuir para que as empresas optem por contratar prestadores de serviços.

Noutro norte, para aquelas empresas que optarem por promover empregados internos ao cargo de DPO, recomenda-se auferir com muita cautela as habilidades necessárias para o desenvolvimento da atividade, sobretudo porque, após a promoção e ainda que o profissional não se adapte à nova função, não poderá o empregador, em regra, determinar a volta deste empregado à função anterior.

Vale lembrar que o aumento de responsabilidade necessariamente enseja uma contraprestação pecuniária, o que também deverá ser observado pelo empregador para as promoções de seus empregados.

Por fim, recomenda-se a contratação e/ou promoção de um DPO antes mesmo da vigência da LGPD, já que cabe a ele também o treinamento dos demais empregados da empresa a tratar os dados coletados tal qual determina a multicitada legislação. E pela característica da atividade, o ideal seria que tal profissional fosse interdisciplinar, com amplo conhecimento da LGPD, compliance, governança de dados pessoais, segurança da informação e TI.

Mariana Machado Pedroso
Especialista em Direito e Processo do Trabalho, é sócia responsável pela área Trabalhista do Chenut Oliveira Santiago Advogados.