Terceirização do DPO: problema ou solução?

No ambiente corporativo, um dos temas do momento em relação à Lei Geral de Proteção de Dados (LGPD) é a obrigação das empresas de nomear o Data Protection Officer (DPO) ou Encarregado pelo Tratamento de Dados Pessoais, conforme a redação da LGPD.

Nos termos da nova Lei, caberá ao DPO receber solicitações dos titulares de dados (consumidores, empregados ou terceiros), relacionar-se com a Autoridade Nacional de Proteção de Dados (ainda inoperante), orientar funcionários e contratados e executar demais rotinas de privacidade definidas pela organização – sendo que nada impede que o DPO seja uma empresa contratada para tanto. 

A possibilidade de terceirização da função, somada a não esperada entrada em vigor da LGPD (já que o adiamento para janeiro ou maio de 2021 era bastante desejado e até dado como certo por parte do setor empresarial), fez surgir uma corrida ao mercado em busca de soluções de DPO as a service ou, em bom português, encarregado terceirizado.

Se tanto para as consultorias externas (inclusive jurídicas) como para as empresas a terceirização da função de DPO pode parecer uma relação ganha-ganha, alguns pontos de atenção precisam ser levantados antes de se tomar a decisão de terceirizar. 

Em primeiro lugar, dois elementos são importantes para o bom exercício da função de DPO: conhecimento técnico sobre a legislação de proteção de dados e profundo entendimento sobre os processos e negócios da empresa.

Logo, o arranjo escolhido para a nomeação do DPO, seja esse qual for (se profissional interno da companhia ou terceiro contratado), normalmente colocará a empresa frente a um trade-off (conhecimento técnico da lei versus entendimento do negócio), que imporá alguma forma de transmissão de conhecimento para a figura escolhida.

Nesse contexto, no comparativo, avalia-se que o entendimento do negócio é mais difícil de ser adequadamente transmitido ao terceiro que exercerá a função de DPO, sendo que, ainda que se tente energicamente, o resultado final nem sempre será plenamente satisfatório se tomarmos como referência o nível de conhecimento sobre as práticas da empresa que um colaborador interno poderia ter. 

Além disso, a tendência é de que o DPO seja intensamente demandado diretamente pelas áreas de negócio da companhia, especialmente neste período de primeiros contatos das empresas com as questões de ordem prática que aparecerão com a vigência da LGPD.

Em outras palavras, mesmo no curto prazo, a terceirização da função pode chegar a ser mais custosa à empresa, gerando inclusive um tempo de resposta não desejado (especialmente no caso de terceiros que são DPO de várias empresas). Dentre os vários pontos de atenção que poderiam ser levantados ao se terceirizar a função do DPO, cabe destacar que ao deixar tal função exclusivamente com um terceiro externo, por mais qualificado que seja, haverá tendência de postura reativa em relação às matérias de proteção de dados.

Considerando que a forma mais eficaz e segura de se ajustar à nova regulamentação passa pela implementação de processos de privacy by design, por meio dos quais os riscos de privacidade são analisados logo na concepção de novas atividades, esse ponto ganha ainda mais relevância. Importante ter em conta também que não sabemos com que olhos a Autoridade Nacional de Proteção de Dados – responsável por fiscalizar o cumprimento da LGPD – enxergará a terceirização, a qual, por mais que seja legalmente viável, pode, em alguns casos, acabar desafiando o princípio da prevenção previsto na nova Lei. 

Por outro lado, não podemos negar que o DPO terceirizado poderá ser solução efetiva para muitas empresas, especialmente aquelas de pequeno porte ou organizações nas quais o tema privacidade não é encarado como estratégico.

No entanto, daqui para frente, é fato que o tema assumirá caráter crucial na maioria das empresas que desejam perseguir ou manter posição de destaque nos seus mercados, mesmo porque inúmeros estudos já evidenciaram o quão essencial é o investimento em privacidade para a saúde do próprio negócio.

Para essas, apesar de à primeira vista sedutora, a proposta de terceirização total da função de DPO poderá não fazer sentido (pelo menos não a longo prazo), o que não quer dizer que a melhor solução seja simplesmente nomear DPO internamente sem as devidas reflexões, estruturações ou mesmo apoio externo.

Basicamente, em relação à decisão de terceirizar ou não o cargo de DPO, o momento é de escolha entre comprar o peixe (DPO terceirizado) ou o curso de pesca (DPO interno com suporte externo), sendo que, pensando no longo prazo e no quanto privacidade e proteção de dados são – e serão cada vez mais – temas cruciais para as companhias, a primeira alternativa pode garantir nutrição rápida, mas a segunda tende a se revelar mais atrativa para a empresa que não vê privacidade como mero custo regulatório. 

Por Paulo Vidigal, advogado, membro da Comissão de Direito Digital da OAB/SP; e Luis Fernando Prado, advogado especialista em Propriedade Intelectual e Novos Negócios pela FGV. Ambos são sócios do escritório Prado Vidigal, especializado em Direito Digital