Por André Cilurzo (*)
O tema proteção de dados nunca esteve em tanta evidência em nosso país como nos últimos dois anos, tudo graças ao surgimento da Lei Geral de Proteção de Dados (LGPD). Com a LGPD, foram criados diversos direitos que os titulares de dados poderão exercer, bem como diferentes obrigações para as empresas estarem em conformidade com a nossa legislação de dados.
Entre as responsabilidades das organizações, uma que se destaca é a incumbência de ser indicado o chamado Encarregado de Dados (ou, Data Protection Officer - DPO). Trata-se da pessoa apontada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), conforme texto da própria LGPD.
Contudo, o DPO atuará efetivamente como um verdadeiro ponto focal da companhia quando se tratar dos temas de privacidade e proteção de dados, auxiliando a empresa em relação à sua jornada de adequação à LGPD. Isso inclui a realização dos mapeamentos dos processos internos da companhia, a avaliação de risco na contratação de terceiros, os treinamentos internos e demais atividades relacionadas aos dados pessoais.
Muitas dessas funções são multidisciplinares, envolvendo diversas áreas da companhia, tais como Jurídico, Controles Internos e Auditoria, Segurança da Informação e Recursos Humanos, bem como a possível criação de uma área de Privacidade para poder atender e auxiliar o Encarregado no seu dia a dia. Além desses departamentos, muitos processos internos deverão ser adequados, assim como poderá existir a necessidade de aquisição de novos sistemas para serviços específicos.
Porém, a realidade nacional é que muitas empresas brasileiras não terão mão de obra e nem mesmo verba para a contratação de pessoas, recursos ou sistemas para o atendimento de muitas das novas obrigações e demandas que a LGPD trouxe consigo, o que levará essas empresas a buscarem soluções para estarem adequadas à LGPD.
A terceirização de alguns desses serviços pode ser uma saída para as organizações. Para esclarecer sobre essa oferta, elenco cinco vantagens neste processo. São elas:
1. Custo - terceirizar serviços da LGPD pode acabar sendo mais econômico às empresas do que a criação de uma estrutura própria para o atendimento das obrigações da Lei, além da contratação e adequação de sistemas internos ou externos.
2. Especialidade técnica e atualização do programa - as empresas contratadas para a prestação desses tipos de serviços terão equipe treinada e certificada para o atendimento às demandas da LGPD. Além disso, as empresas terão ferramentas que suportaram os contratantes a atender as exigências e demandas da LGPD. Com isso, será mais fácil a atualização e evolução da maturidade do programa de privacidade e proteção de dados da companhia contratante.
3. Possibilidade de apenas nomear o DPO na empresa, terceirizando o restante da estrutura para as demais necessidades de conformidade para atendimento à Lei - neste modelo, a empresa terá um parceiro dedicado exclusivamente para o atendimento das demandas dos titulares de dados e gerenciamento do inventário de atividades de processamento e segurança de informações, implicando assim em uma diminuição da estrutura necessária para tal. Assim, o cargo de DPO poderá ser mais estratégico na organização, sendo o ponto focal interno em relação às questões da LGPD, além de ter todo o suporte da estrutura terceirizada à sua disposição.
4. Contratação de serviços sob demanda - com a terceirização, a empresa contratante poderá solicitar serviços específicos à medida que tem necessidade, evitando que se mantenha uma estrutura custosa que poderá permanecer ociosa por longos períodos. Nesse caso, atividades como mapeamento de novas atividades de tratamento, atualização das atividades existentes e gestão de crises podem ser realizados apenas quando existir efetivamente mudanças necessárias ou incidentes de privacidade, assim como nas demandas de elaboração de relatórios de impacto, avaliação de terceiros no aspecto de proteção de dados, análise de sistemas no quesito segurança da informação e Privacy by Design, além de treinamentos internos poderão ser realizadas sob demandas específicas.
5. Parceiro de negócios - a empresa contratada oferecerá soluções diversas de proteção de dados, segurança da informação e treinamentos quando necessário. Ou seja, uma única empresa poderá suportar a contratante em diversos tipos de demandas.
A terceirização das atividades da LGPD é uma alternativa viável para que empresas brasileiras possam se adequar de uma maneira mais ágil e com melhor custo-benefício do que a implantação de uma estrutura interna para tratar sobre o tema. Assim, as empresas poderão manter o foco em seu negócio e em seu propósito, mantendo um programa de manutenção à LGPD sob a responsabilidade de um terceiro.
(*) André Cilurzo é especialista em LGPD e diretor associado de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.