Quanto vale uma recomendação do encarregado de dados para as organizações?

Quanto vale uma recomendação do encarregado de dados para as organizações?

Antes de começar o Artigo informo que uso Encarregado ao invés de DPO, pois nossa legislação menciona o papel de Encarregado e não de DPO, conhecido amplamente pelo nosso mercado. DPO é o Data Protection Officer.

Motivado pela consulta pública em andamento pela ANPD (Autoridade Nacional de Proteção de Dados) que encerra em 07 de dezembro de 2023, que irá regulamentar a posição do encarregado de forma mais efetiva na visão da legislação, resolvi escrever sobre como é fundamental a posição desse profissional e de como suas recomendações podem afetar de forma significativa as organizações na conformidade. Além dessa motivação, também é importante dar a visão de que esse profissional poderá incentivar diversas inovações administrativas e tecnológicas, que poderão, no futuro, eliminar ou trazer para um nível aceitável os riscos de sanções administrativas descritas no Art. 52º da LGPD. Já pensou no quanto pode valer para a sua marca informar aos clientes da conformidade com uma legislação que protege dados pessoais? E já pensou também que administrativamente a sua organização poderá considerar, após uma avaliação dos processos, uma possível redução de custos?

Antes de explorar melhor o valor das recomendações, vamos entender o que diz o Art. 41º da legislação? De forma bem clara e objetiva diz que as organizações devem indicar um Encarregado, exceto agentes de tratamento de pequeno porte conforme resolução CD/ANPD Nº 2, de 27 de janeiro de 2022, que em seu Art. 11º não obriga essa indicação, mas obriga que esses agentes devem dispor de um canal de comunicação com o titular de dados. A resolução também considera uma boa prática a indicação do Encarregado.

E, para quem ainda não está ciente, qual seria o papel do Encarregado? O papel, conforme o mesmo Art. 41º, seria o de:

  1. Adotar providências perante titulares e própria autoridade nacional (ANPD), sejam comunicados, reclamações ou esclarecimentos;
  2. Orientar todos os membros da organização nas práticas em relação a proteção de dados;
  3. Executar as demais atribuições determinadas pela agente de tratamento controlador ou estabelecida por normas complementares.

Explorando mais o item 3 acima, demais atribuições podem ser diversas como: elaboração de documentos diversos como políticas internas, termos, normas organizacionais, entre outros diversos tipos de documentos e atividades não mencionadas no Art. 41º que irão auxiliar a organização na adequação e sustentação da conformidade, porém é necessário levar em consideração possíveis conflitos de interesse caso o encarregado nomeado seja um funcionário com um outro cargo na organização.

Muitas organizações não consideram a prática de que o Encarregado deveria ser uma pessoa externa com autonomia e independência sobre os outros níveis de hierarquia, o que já coloca a organização em risco nessa decisão. Imagina um diretor de marketing informando para o Encarregado, que possui um nível similar ou inferior, que não irá acatar uma recomendação em relação ao uso de uma operação de tratamento com dados pessoais mesmo tendo sido alertado de um possível risco na operação que é ou será realizada.  

Apesar de não haver nada mencionado na legislação sobre capacitação da figura do Encarregado é importante entender que esse profissional deve possuir habilidades específicas e uma visão ampla sobre diversas práticas do mercado e das organizações como, porém, não limitadas à: gestão de processos, gestão de projetos, gestão de riscos, conhecimento de legislações adicionais que podem impactar na LGPD referente à obrigações legais, gestão de pessoas, governança, gestão de contratos, etc.

O Encarregado não é um Jedi, porém deve possuir como uma principal habilidade, em minha humilde opinião, a visão de poder identificar quais são os riscos das operações de tratamento com dados pessoais, por mais simples que seja a operação em si. Só isso? Não!! Eu falei como uma principal habilidade, porém também é fundamental que o Encarregado tenha a habilidade de descrever sobre como esse risco poderá afetar a organização e indicar (com recomendações) como esse risco pode ser tratado, além de ter a habilidade de negociar, integrar e sensibilizar as áreas da organização nas indicações de medidas que irão possibilitar a conformidade e sustentação efetiva com a legislação. Acreditem, o Encarregado sozinho não garante a conformidade. É fundamental que a organização esteja ciente de que a Proteção de Dados é responsabilidade de todos.

Agora chegamos ao ponto principal da motivação do artigo que estou escrevendo, não é? O valor das recomendações do Encarregado de Dados.

Vamos então entender melhor o que eu considero uma recomendação? De forma bem simples, seriam propostas formais documentadas e informadas pelo Encarregado à organização de possíveis adequações necessárias levando em consideração os seguintes critérios, porém não limitado ao exposto abaixo:

  • Vulnerabilidades administrativas/organizacionais. Podem ser identificas nos processos e pessoas da organização.
  • Vulnerabilidades técnicas. Podem ser identificadas nas tecnologias utilizadas pela organização ou por carência de uma tecnologia que a organização ainda não possui.

Através das vulnerabilidades os riscos serão identificados e o Encarregado poderá realizar e fundamentar as devidas recomendações para que a organização trate riscos identificados, sejam eles voltados para medidas administrativas/organizacionais ou medidas técnicas. Importante reforçar sempre que a LGPD menciona em seu Art. 6º, inciso VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais.

Começa a fazer sentido o valor de uma recomendação do Encarregado? Espero que sim, porém caso ainda não esteja vendo isso de uma forma clara vamos dar dois exemplos, um sobre medida administrativa/organizacional e outro voltado para uma medida técnica.

Exemplo de uma medida organizacional: Imagine que sua organização tenha vínculo contratual com diversos fornecedores. Vamos pegar como exemplo um fornecedor um plano de saúde, que sua organização provê como benefício para seus colaboradores. Vale lembrar que dados sensíveis relacionados à saúde podem estar sendo tratados. Quais seriam os riscos nas operações de tratamento? Como podemos garantir que o fornecedor utilize os dados pessoais dentro da conformidade com a legislação? Vamos ver um exemplo de recomendação.

Recomendação: Aplicar a medida organizacional utilizando mecanismos contratuais. Os contratos com seus fornecedores podem ser utilizados para garantir, através de cláusulas, que o fornecedor:

  • Utilize os dados pessoais adequados de acordo com a finalidade proposta, ou seja, apenas para prover o devido benefício para os colaboradores da organização;
  • Que os dados recebidos pelo fornecedor sejam tratados apenas pelas pessoas autorizadas conforme a finalidade estabelecida; e
  • Que os fornecedores tenham as medidas protetivas que irão garantir que os dados estejam seguros enquanto sejam operados/tratados.

Leve em consideração possíveis riscos como: compartilhamento indevido pelo operador com terceiros, guarda de dados pessoais sem finalidade por tempo acima do que é necessário ou até mesmo vazamento de dados pessoais se o fornecedor não possui os mecanismos de proteção adequados para inibir acessos indevidos.

Outras cláusulas poderiam ser mencionadas, porém é apenas um exemplo. Usei esse exemplo intencionalmente, pois algo pode e deverá ser levado em consideração. Será que o plano de saúde contratado poderá usar os dados pessoais em algum momento sendo enquadrado como controlador do dado pessoal? Esse enquadramento pode estar contido no contrato, detalhando em quais critérios o plano será considerado operador e controlador dos dados pessoais. Seria uma vulnerabilidade para sua organização não considerar que o plano de saúde pode, em algum momento, tomar decisão no tratamento de um dado pessoal? O titular do dado pessoal está ciente e foi informado desse compartilhamento? E se acontecer algo que possa causar dano significativo para o titular? Está ficando mais claro como as recomendações e a figura do Encarregado pode ser importante dentro das organizações?

Vamos agora falar de um exemplo de medida técnica: Imagine que sua organização, no setor de RH, tenha uma sala específica para guarda de prontuário (documentos físicos) dos funcionários com todas as informações (dados cadastrais, dados profissionais, dados de saúde, entre outros). Quais seriam os riscos nas operações de tratamento? Será que devemos considerar possíveis vazamentos de dados? Quem realmente pode ter acesso aos dados pessoais dos colaboradores? Como podemos garantir que o os dados pessoais sejam tratados dentro da conformidade com a legislação? Vamos ver um exemplo de recomendação.

Recomendação: Aplicar a medida técnica de tranca (fechadura, cadeado, ou outro que iniba acesso indevido). Uma medida tecnológica pode ser além de critérios cibernéticos, uma simples fechadura ou cadeado (que são tecnologias, apesar do óbvio) pode inibir de forma efetiva acessos não autorizados aos locais de armazenamento de dados pessoais. Dessa forma inibimos:

  • Acessos por pessoas não autorizadas. Imagine o time de limpeza ou o time de contabilidade fuçando informações pessoais sem autorização na sala de prontuários, que é de propriedade do time de recursos humanos.

Leve em consideração possíveis riscos como: Acesso indevido aos dados pessoais, vazamento de dados pessoais ou até mesmo de dados sensíveis, cópias não autorizadas. Os dados vazados podem seu usados para cometer fraudes. Imagina alguém entrar na sala com um dispositivo de captura de imagem e reproduzir sem autorização uma informação sensível de algum colaborador ou até mesmo dados profissionais como remuneração em carteira. Será que poderia haver alguma chantagem ou intimidação com algum dos seus colaboradores que teve seu dado pessoal usado de forma indevida?

Quais seriam as sanções administrativas aplicáveis caso uma fiscalização seja realizada e fique comprovada uma possível negligência em aplicar medidas de segurança já que a organização se enquadra como controladora dos dados pessoais? Qual seria o custo para a sua organização? O nome da marca poderia ser afetado?

Entendam que os exemplos de recomendação que dei podem ser considerados simples e até mesmo óbvios, pois outras recomendações simples e mais complexas podem envolver as áreas de desenvolvimento, compras, logística ou até mesmos áreas de comércio internacional ou comércio eletrônico e até mesmo terceiros, porém muitas organizações podem não estar levando em consideração medidas que podem trazer um nível aceitável de conformidade, até mesmo com baixo custo.

Outro ponto importante é entender que os riscos identificados na sua organização podem inclusive, caso não seja do seu conhecimento, demandar a elaboração de um documento chamado RIPD, que é um relatório de impacto à proteção de dados. E a sua elaboração também é considerada uma recomendação importantíssima, que tem como produto uma medida administrativa/organizacional (elaboração do documento em si, entre outras) e possíveis medidas técnicas (adequações tecnológicas pertinentes à proteção dos dados pessoais ou sensíveis).

Com os exemplos, é possível entender como uma recomendação pode ter um valor grande para a organização? Faz sentido que a habilidade de identificar riscos é uma das principais habilidades do Encarregado?

Concluindo, o papel de Encarregado vai bem além de recomendar medidas, porém conforme o Art. 41º ele tem como uma das principais atribuições orientar as organizações para que a conformidade esteja presente no dia a dia no que se refere ao tratamento de dados pessoais com responsabilidade. Lembre, em algum momento sua organização poderá ser obrigada a prestar contas (Art. 6º, Inciso X).

Eu coloquei a conclusão acima, porém gosto de terminar meus artigos com uma pergunta provocativa. Sua organização está ciente que riscos no tratamento de dados pessoais existem e trata da forma adequada para garantir a conformidade ou aceita esses riscos sem levar em consideração, até o momento, a adequação à LGPD? Lembre que em algum momento poderá ser necessária uma prestação de contas para a ANPD (Autoridade Nacional de Proteção de Dados) e alguma sanção administrativa poderá ser aplicada.

Por: Nilson Brito, DPO certificado pelo EXIN© desde a ano de 2020 e atua como consultor autônomo em processos de adequação e sustentabilidade na conformidade com a Lei Geral de Proteção de Dados Pessoais.

Fonte: https://www.contabeis.com.br

Veja Também

A sustentabilidade registrada

A sustentabilidade registrada

Em ano de COP29, em Baku, e G20, no Rio de Janeiro, ambos eventos ocorrendo quase que simultaneamente durante este mês de novembro, nada mais salutar e oportuno do que a aprovação da Norma...

ler mais