Opinião
/ Atualizado em: as
Por Eduardo de Avelar Lamy
É contraditória a relação entre as estruturas internas de compliance e a forma como terceiros que prestam serviços de Encarregados de Dados e adequação à LGPD por vezes têm interpretado a responsabilidade de fiscalizar o cumprimento das rotinas decorrentes da própria LGPD.
É comum que análises de gap estejam sendo feitas criteriosamente, normas internas estejam sendo bem construídas, cronogramas de adequação estejam absolutamente detalhados e discutidos, mas, mesmo nas organizações melhor intencionadas, o problema de eximir-se à responsabilidade de fiscalizar as rotinas continua a existir.
A dificuldade em aproximar a proteção de dados de um sistema de controle com roles and responsibilities começa na tradicional antecipação de treinamento da equipe, como se sensibilizações iniciais pudessem ser confundidas com treinamentos.
A seguir, na maioria das vezes procede-se à antecipação do ajuste de websites que as empresas estão a realizar o quanto antes para proporcionar uma fachada de conformidade em face da proximidade da entrada em vigor das sanções da LGPD, incluindo Avisos de Privacidade incompletos e por vezes contraditórios com o desenvolvimento do risk assessment e da política de segurança de dados necessária.
Ainda que se possa desde o início dos trabalhos de adequação ajustar o website desde já para a anuência quanto a cookies, no tocante ao aviso de privacidade as diretrizes de não compartilhamento de dados, as práticas de segurança e os formulários para exercício dos direitos são todos temas cuja forma de regulação e atuação decorrerá do risk assessment e da Política de Segurança da Informação – PSI. Não se pode generalizar e atropelar essas medidas.
Apenas no momento em que se tem a PSI finalizada, pressuposto inerente ao início dos aos treinamentos (ocasiões essas diversas e posteriores aos kick offs de sensibilização inicial), valerá a pena inserir no website da empresa que está passando pelo processo de adequação todas as informações públicas a respeito dos esforços de LGPD, tais como fotos de treinamentos, a própria PSI e demais medidas.
Ocorre que a esta altura, tem sido comum a equipe de adequação se deparar com a realidade de um Encarregado de Dados ou Data Protection Officer – DPO externo que, especialmente dentro da realidade de mercado dos DPO externos, se comprometerá essencialmente como um mentor de dados.
Irá reagir como um relações públicas junto aos titulares, interagir com a ANPD, orientar funcionários, mas – e aí revela-se o problema – não como alguém que terá a proatividade de fiscalizar as rotinas criadas.
Esta realidade, de um Encarregado de Dados terceirizado que não fiscaliza a própria LGPD decorre de uma interpretação literal do art. 41 da lei brasileira, absolutamente discrepante da lógica decorrente dos sistemas de controle da conformidade, como demonstra o art. 39, I, “b” da GDPR.
Fiscalizar as rotinas toma tempo, atenção e responsabilidade. Mas não faz sentido orientar funcionários sem fiscalizá-los. A quem deve caber essa tarefa, então? E como se denomina a função desse alguém?
A verdade é que em um sistema de compliance substancial, roles and responsibilities, o DPO é pessoalmente responsável pela execução tanto da orientação quanto do cumprimento das rotinas de controle. As funções de um DPO vão além daquilo que tem sido sugerido nas políticas elaboradas por boa parte dos Encarregados de Dados terceirizados no Brasil.
É importante que se atente para qual interesse se está atendendo, para que não se interprete literal e isoladamente o sistema jurídico ao comparar o art. 41, parágrafo segundo, inciso IV da LGPD ao o art. 39, I “b” da GDPR. Este interesse não está de acordo com a intenção das empresas brasileiras que desejem se adequar da maneira mais eficaz à própria LGPD.
Eduardo de Avelar Lamy é advogado e consultor em Compliance Empresarial; sócio do escritório Lamy & Faraco Lamy; presidente da Comissão de Compliance da OAB/SC; professor associado da UFSC; doutor em Direito pela PUC-SP; e membro da Associação Internacional de Compliance.
Comentários