Sancionada em agosto de 2018, a Lei nº 13.709/18 – também conhecida como Lei Geral de Proteção de Dados ou simplesmente LGPD -, passou a vigorar efetivamente no Brasil em setembro de 2020.Basicamente, a LGPD institui regras sobre o tratamento de dados pessoais para pessoas físicas e jurídicas, delimitando direitos e obrigações.
Em seu artigo 41, a LGPD apresenta a figura do “Data Protection Officer” (DPO), também conhecido como Encarregado de Proteção de Dados.
O DPO é a figura responsável por manter uma empresa em conformidade quanto à privacidade e proteção de dados. Em outras palavras, é o especialista cuja função consiste em garantir – por meio de monitoramento constante – que as regras e boas práticas de determinado setor sejam respeitadas pelas empresas também no âmbito do tratamento de dados pessoais.
Por sua atuação, costumeiramente os DPO’s são comparados a contadores, recebendo o apelido de “Contador de Dados”.
DPO as a service
Originalmente a indicação de um DPO era obrigatória. Contudo, em janeiro de 2022 a Agência Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/AND nº 2/2022, a qual dispensou a indicação de DPO para determinados tipos de empresas.
Fato é que, apesar do posicionamento recente da ANPD, grande parte do empresariado brasileiro ainda possui a obrigação legal de indicar um DPO.
Dessa forma, o grande dilema enfrentado por diversos empresários atualmente consiste na escolha entre a internalização de um DPO e a terceirização dessa função.
A terceirização da função de DPO é conhecida como “DPO as a service” – ou DPO externo – e tem ganhado cada vez mais adeptos no Brasil devido às suas vantagens.
3 vantagens do DPO as a service
Alguns dos aspectos que têm feito o modelo de DPO as a service ganhar a preferência de diversas empresas brasileiras são:
1. Acesso a profissionais especializados
A função de DPO não demanda uma formação específica. Assim sendo, na teoria, qualquer pessoa poderia exercer tal papel. Ocorre, entretanto, que o campo da privacidade e da proteção de dados além de relativamente recente é extremamente complexo, envolvendo questões que tangenciam diversos setores, como o jurídico e o de segurança da informação.
Os profissionais que atuam na área precisam, portanto, estar tecnicamente aptos a atender as obrigações e as demandas das autoridades competentes (como órgãos reguladores), dos titulares (donos) de dados e da própria empresa.
Por tal razão o mercado passou a ter a necessidade de possuir parâmetros que atestassem a qualidade de um DPO. Logo após a promulgação da GDPR (legislação europeia sobre proteção de dados) algumas instituições passaram a ministrar cursos e conceder certificações de capacidade técnica.
Para a obtenção de tais “títulos” é necessária frequência em aulas e treinamentos e também a aprovação em teste específico. É o caso, por exemplo, da IAPP e da EXIN que outorgam certificados como o Certified Information Privacy Manager (CIPM) e o Privacy and Data Protection Practitioner (PDPP), respectivamente.
2. Redução de custos
Uma vez que certificações que lastreiam a qualidade técnica de um DPO costumam demandar um investimento financeiro considerável, normalmente os profissionais que atuam como encarregado de dados costumam exigir uma remuneração à altura da sua qualificação (altos salários).
Desse modo, geralmente são vistos dois cenários nas empresas que optam por um DPO interno:
- Nomeação de um DPO “caro” e tecnicamente especializado; ou
- Nomeação de um DPO “barato” e sem a qualificação técnica necessária (geralmente alguém da própria empresa, de setores como jurídico, marketing ou administrativo-financeiro).
Por tal razão é que o DPO as a service se apresenta como o modelo que melhor equilibra a relação custo/tecnicidade.
Por meio da terceirização da função de DPO é possível contratar um profissional de excelência – detentor das melhores certificações – e, ao mesmo tempo, desembolsar valores muito menores do que os geralmente exigidos por profissionais internalizados (inclusive gastar menos com o processo de recrutamento).
Ademais, a contratação terceirizada de um DPO também é economicamente mais vantajosa quando comparada com um projeto único para adequação à LGPD. Tais projetos geralmente demandam o pagamento de honorários mais altos e em menor prazo.
Com o DPO externo a adequação é feita de maneira gradual e constante, enquanto o pagamento pelos serviços ocorre mensalmente, a um valor inferior ao cobrado em uma consultoria de adequação tradicional (com início, meio e fim).
3. Otimização do tempo útil
Não há dúvidas que o tempo é um dos ativos mais preciosos para o ambiente empresarial. Isso posto, é preciso sempre buscar tomar decisões que possibilitem o direcionamento de energia da empresa para as atividades consideradas primordiais.
A escolha pela terceirização da função de DPO é um exemplo. Com ela é possível poupar os departamentos de gestão de pessoas de promoverem recrutamentos demorados, além de possibilitar um rápido retorno para demandas do dia a dia, das mais simples até as mais complexas.
Com a função de DPO ocupada por um profissional altamente capacitado via modelo de DPO as a service, caso a empresa possua qualquer problema relacionado à privacidade e proteção de dados, este poderá ser fácil e rapidamente resolvido pelo DPO designado, de modo que os colaboradores das demais áreas não precisarão se envolver diretamente na questão, podendo focar apenas em suas atividades principais.
Afinal, por que contratar DPO as a service?
Como visto a contratação do modelo de DPO as a service proporciona às empresas um equilíbrio entre a tecnicidade que o cargo exige e o valor usualmente cobrado pelos profissionais do ramo.
Além disso, o DPO externo otimiza o tempo do restante da equipe, permitindo que o capital humano foque na entrega de suas atividades sem precisar se preocupar com demandas relacionadas à LGPD.
Por tais motivos, atualmente o DPO as a service é a opção mais interessante para as empresas que pretendem estar em conformidade com a legislação vigente e tomar as melhores decisões estratégicas.
