Sobre a Lei de Proteção de Dados

Ante a universalização do acesso aos meios digitais decorrente da proliferação dos usos e facilidades propiciados pela internet, necessário se fez a regulação das transmissões de dados, sobretudo face ao alcance da disseminação das informações por meios digitais. Diante desse quadro, foi promulgada a Lei 13.709/18, que tem a difícil missão de dispor sobre a proteção de dados pessoais. Tal lei, também conhecida por Lei Geral de Proteção de Dados (LGPD), foi posteriormente alterada pela Medida Provisória 869/18.

Neste cenário, a partir da vigência da mencionada lei — que poderá ocorrer em fevereiro de 2020, tal qual previsão inicialmente apresentada (18 meses após a publicação ocorrida em 14/8/2018) ou em agosto de 2020, conforme previsão trazida pela MP 869/18 — será possível responsabilizar pessoas físicas e empresas, privadas ou públicas, pela má-utilização dos dados pessoais acessados.

Para a efetivação das práticas expostas na referida lei em inegável inspiração no arcabouço legal europeu, foi criada a figura do “encarregado pelo tratamento de dados pessoais”, mais conhecido como Data Protection Officer (DPO). De acordo com a mencionada lei, deveria ser uma pessoa natural, característica que foi flexibilizada pela MP 869/18 que excluiu a palavra ‘natural’, e será responsável por difundir a cultura de se proteger todos os dados pessoais, estejam eles em meios digitais ou “em papel”.

Também será o DPO o responsável por interagir com a autoridade nacional de proteção de dados — criada pela MP 869 —, que é o órgão da administração pública que terá a responsabilidade de zelar, implementar e fiscalizar o cumprimento da LGPD. No entanto, sob o aspecto trabalhista, essa nova função ensejará alguns entraves que somente ao longo do tempo encontrarão respostas nos julgados que ocorrerem.

De início, tem-se que é inerente ao desenvolvimento da própria função um grau de autonomia que não é comum vislumbrar nas relações de emprego, e tal autonomia poderá — ou não — colidir com os princípios da relação de emprego, sobretudo o da subordinação. Isso porque estará esse empregado vinculado ao mais alto grau hierárquico.

Exemplo dessa autonomia é o rol de atividades deste profissional expressamente inserto na LGPD: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O profissional será, sem sombra de dúvida, o responsável por administrar todo o fluxo de informações, desde sua coleta até o seu tratamento, ou seja, será um fiscal interno. E quando algo ocorrer em desacordo com o que a LGPD determina, também será ele o responsável por realizar os reparos necessários para adequar a empresa à legislação brasileira.

Ainda, sendo ele o responsável pela segurança dos dados pessoais a que porventura tenha a empresa acesso, não há dúvidas de que sua disponibilidade poderá incompatibilizar o cumprimento da jornada constitucional de trabalho. E há que se ressaltar que mesmo detendo o DPO cargo de confiança em razão da elevada fidúcia, tal fato não desonera o empregador de observar os limites de jornada impostos. Aqui se observa o primeiro problema com a inserção desse profissional no quadro legal vigente no Brasil, o que poderá, inclusive, contribuir para que as empresas optem por contratar prestadores de serviços.

Noutro norte, para aquelas empresas que optarem por promover empregados internos ao cargo de DPO, recomenda-se auferir com muita cautela as habilidades necessárias para o desenvolvimento da atividade, sobretudo porque, após a promoção e ainda que o profissional não se adapte à nova função, não poderá o empregador, em regra, determinar a volta deste empregado à função anterior.

Vale lembrar que o aumento de responsabilidade necessariamente enseja uma contraprestação pecuniária, o que também deverá ser observado pelo empregador para as promoções de seus empregados.

Por fim, recomenda-se a contratação e/ou promoção de um DPO antes mesmo da vigência da LGPD, já que cabe a ele também o treinamento dos demais empregados da empresa a tratar os dados coletados tal qual determina a multicitada legislação. E pela característica da atividade, o ideal seria que tal profissional fosse interdisciplinar, com amplo conhecimento da LGPD, compliance, governança de dados pessoais, segurança da informação e TI.