As organizações enfrentam inúmeros desafios na jornada de conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD)[1], uma vez que o cenário de privacidade é novo e está em constante mudança. Dentre os inúmeros obstáculos, um ponto crítico é a nomeação do Encarregado, figura central da governança de dados pessoais e responsável não só pela realização dos contatos entre o Controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD), mas também pela implementação das boas práticas de proteção de dados pessoais.[2]
Recentemente, a ANPD abriu consulta pública, no dia 07 de novembro, sobre o regulamento do Encarregado, a fim de coletar subsídios para definir os requerimentos acerca de sua atuação.
Referida consulta reforça a possibilidade dessa figura ser constituída por um agente externo à organização, seja uma pessoa física ou jurídica. Essa discussão traz à tona a dificuldade enfrentada pelas empresas na busca por profissionais especializados e que possuam um conhecimento técnico multidisciplinar.
Por ser uma área relativamente nova e demandar qualificações profissionais muito específicas, encontrar o profissional ideal para o posto de DPO pode ser algo altamente complexo.
Outra adversidade enfrentada pelas organizações está na dificuldade em alocar recursos financeiros, seja para a constituição de uma equipe especializada (aproveitando recursos internos ou trazendo alguém do mercado), como também para integrar tecnologia dentro de suas operações.
Diante desse cenário desafiador, algumas empresas estão considerando terceirizar total ou parcialmente a governança de dados pessoais, inclusive com a modalidade do “DPO as a Service”.[3]
Mais do que uma alternativa interessante do ponto de vista financeiro, contar com uma assessoria especializada pode trazer um mix de conhecimentos e expertises que, muito provavelmente, uma reduzida equipe interna pode não possuir.
Um ponto de atenção ao se avaliar essa modalidade de contratação é entender o escopo de atividades que serão desenvolvidas pelo terceiro contratado, já que se trata de um contrato de prestação de serviços atípico em que o rol de obrigações assumidas depende da livre negociação entre as partes.
Nesse sentido, o que se vê atualmente no mercado é uma grande variedade de escopos, havendo empresas que cobram um valor periódico para, exclusivamente, serem apontadas como DPO e outras empresas que, além de serem indicadas, proporcionam um leque de atividades e serviços relacionadas à estruturação, manutenção e/ou aperfeiçoamento da governança de dados pessoais, auxiliando inclusive na seleção, implementação e operação de tecnologias de automação e até mesmo atuando em incidentes de dados.
Outro aspecto fundamental é entender o tamanho do risco da empresa no tocante ao tratamento de dados pessoais, bem como o nível de maturidade em governança de dados pessoais e, por que não, na frente de segurança da informação em geral.
Por fim, há que se considerar a existência ou não de recursos dentro da organização que poderiam, eventualmente, ser aproveitados numa estrutura de governança de dados pessoais.
É muito positivo, portanto, que o cenário de proteção de dados pessoais no Brasil esteja evoluindo e a proliferação de soluções de DPO as a Service é um ótimo sinal, já que traz às empresas mais uma opção a ser considerada quando da definição da sua estrutura e modelo de governança.
A escolha, portanto, de se estruturar uma equipe interna de proteção de dados e/ou de se contar com apoio de uma consultoria externa para atuar como DPO ou até mesmo para suportar a governança de dados pessoais deve levar em consideração alguns fatores, tais como: o nível de risco da empresa com relação ao volume e tipo de dados pessoais que trata; o atual nível de maturidade da sua governança de dados pessoais; a existência ou não de recursos internos qualificados nessa área; o budget existente; o nível de automação dos processos/ atividades da governança de dados pessoais.[4]
De toda forma, a existência de um leque crescente de opções de contratação de DPO as a Service reforça a evolução do cenário de proteção de dados no Brasil e traz para as empresas maior flexibilidade na hora de implementar e operar o modelo de governança mais adequado à sua realidade.
[1] Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2023]. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 19 dez. 2023.
[2] ANPD abre Consulta Pública para regulamento sobre Encarregado de Dados. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-consulta-publica-para-regulamento-sobre-encarregado-de-dados . Acesso em 19. dez. 2023
[3] Terceirização do DPO. Disponível em: https://www2.deloitte.com/br/pt/pages/tax/solutions/terceirizacao-dpo.html . Acesso em 19. dez. 2023
[4] O que é Governança de Dados? Disponível em: https://www.sap.com/brazil/products/technology-platform/master-data-governance/what-is-data-governance.html#:~:text=Benef%C3%ADcios%20da%20governan%C3%A7a%20de%20dados&text=Dados%20precisos%20e%20confi%C3%A1veis%20s%C3%A3o,e%20da%20seguran%C3%A7a%20desses%20dados. Acesso em 19. dez. 2023