Por Alexandre Atheniense e Fernando Dolabela
Mesmo após a vigência das sanções aplicáveis pela ANPD – Autoridade Nacional de Proteção de Dados Pessoais – pelo descumprimento da lei, a maioria das empresas ainda não se sensibilizou para suprir a lacuna de nomear o encarregado de proteção de dados pessoais – DPO (Data Protection Officer). Embora saibamos que no mercado ainda faltam profissionais habilitados e com experiência comprovada, a inércia das organizações pode sair muito cara.
O DPO pode ser tanto uma pessoa natural, quanto um grupo de colaboradores internos ou terceirizados. Pelo menos neste primeiro ano de vigência legal, para suprir a falta de experiência, várias empresas têm recorrido a um serviço externo para suporte, o qual é nomeado no mercado como DPO as a service. Ao contrário do que muitos pensam, este cargo não é perfil exclusivo de técnicos em tecnologia da informação, uma vez que a capacitação jurídica e regulatória é prevista na lei.
Estes profissionais devem estar aptos para exercer a governança digital corporativa, ou seja, devem possuir o domínio dos mecanismos de controle para gerenciar e tomar decisões rápidas quanto a qualquer falha nas atividades de tratamento de dados pessoais. É função do DPO de performar como uma interface entre a organização e os titulares de dados pessoais, bem como representá-la perante as entidades fiscalizadoras em esfera administrativa ou perante o Poder Judiciário.
O encarregado deverá realizar constantes verificações e o gerenciamento de processos internos e externos relativos ao tratamento de dados pessoais. Também é seu dever prestar auxílio à diretoria e/ou ao setor de governança no processo de tomada de decisões.
Em recente sentença de uma Vara do Trabalho do TRT da 4ª região, o juízo decidiu que o artigo 41 da LGPD é claro acerca da necessidade das organizações nomearem um encarregado de proteção de dados imediatamente, uma vez que a determinação dessa obrigação não depende de qualquer regulamentação por parte da ANPD. Dessa forma, o magistrado condenou uma empresa do ramo alimentício a promover a urgente indicação e nomeação de um encarregado.
Além do mais, as sanções administrativas previstas na lei estão em vigor desde o dia 1 de agosto de 2021. Tais penalidades podem ser tanto de ordem operacional, podendo paralisar atividades desempenhadas pela empresa, como também podem ter impacto financeiro e fixadas em até 2% do faturamento líquido anual da organização com um teto limite de 50 milhões de reais por evento.
Estes valores ainda podem ser duplicados em caso de reincidência, considerando que a Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara já aprovou o parecer substitutivo do Projeto de Lei 3.420/2019, o qual altera o critério da multa aplicada em caso de vazamento de dados pessoais.
A ausência de nomeação de DPO é uma falha em termos de medida protetiva de tratamento de dados pessoais muito grave sujeita a sanções pesadas. Nesse sentido, recentemente a Autoridade Espanhola de Proteção de Dados penalizou pela primeira vez uma empresa de segurança privada e vigilância por não ter designado um DPO. Foi aplicada uma multa de 50 mil euros pelo descumprimento legal.
Pelo mesmo motivo, uma startup que atua no setor de entregas também foi penalizada pelo órgão fiscalizador espanhol com uma multa de 25 mil euros. Muito mais danoso que a multa foi o prejuízo em termos de reputação digital da empresa, já que a sanção teve uma enorme repercussão midiática em diversos países.
O impacto negativo na imagem pública da organização pode ser muito mais oneroso que qualquer multa administrativa, pois a reconstrução é muito mais cara que prevenção e os efeitos desta falha poderão repercutir com a rescisão de contratos e inviabilização de novos negócios.
O auxílio de uma equipe especializada com profissionais com experiência jurídica especializada em proteção de dados pessoais é fundamental na mitigação destes riscos. A contratação externa de um DPO jurídico com experiência comprovada e a capacitação dos líderes é uma decisão estratégica de grande impacto para reduzir riscos das sanções de qualquer espécie.
Caso tenha interesse em conhecer o nosso serviço de consultoria de DPO Jurídico e o curso de Formação de DPO, entre em contato com a nossa equipe que estará disponível para sanar suas dúvidas. A falta de sensibilização para tomada de decisões de adequação à LGPD se tornou um risco potencializado com o vigor das sanções administrativas. O enfrentamento destas lacunas demanda a tomada de ações imediatas para não tornar as empresas ainda mais vulneráveis às sanções da lei de proteção de dados pessoais.
