Confiança como serviço: o encarregado de proteção de dados

Considero o respeito à privacidade como objetivo principal das normas de proteção de dados pessoais.

Isto porque a privacidade é a base sobre a qual o indivíduo forma e exerce livremente sua personalidade. A privacidade é o domínio íntimo de sua condição física, mental, emocional e espiritual. Apenas a si diz respeito, salvo exceções. Assim é a norma.

A letra “e-” precede a cada dia mais substantivos, consequência do empreendedorismo. Reconheço também a crescente importância do tratamento de dados pessoais para o pleno exercício da liberdade econômica. Assim também a norma.

Neste sentido interpreto o tratamento de dados pessoais como atividade lícita, porém de risco. Disto decorre gestão consequente, para todos os efeitos. Também aqui gestão temerária, negligente ou omissa gera consequências financeiras, de reputação e regulatórias graves. Assim prescreve a norma.

A solução proposta para o iminente risco de violação de dados é mapeá-lo e fazer cumprir a norma com rigor. A segurança do cumprimento efetivamente reduz o risco. É atividade diária, contínua e persistente. Isto é viável e porta benefícios.

Mesmo em caso de falha, o precedente cumprimento é marca de boa-fé e de reconhecimento obrigatório pela autoridade e pelo juiz.

O encarregado de proteção de dados (data protection officer) insere-se neste contexto. Seu conhecimento dos processos de tratamento, aliado à aplicação técnica, lícita e precisa da norma reduz custos e possibilita processos.

É o profissional responsável por manter e aperfeiçoar as medidas de proteção dos dados pessoais, de forma livre e independente, no interesse da norma, dos titulares e da atividade lícita sob risco.

Ao encarregado cabe a análise e o enquadramento de novos tratamentos de dados conforme às normas, a gestão dos processos de proteção de dados, bem como a interface com titulares, autoridades supervisoras e a alta direção.

Seu exercício é expressamente previsto e reconhecido no regulamento de proteção de dados da União Européia (RGPD) e na lei brasileira (LGPD). Mais que uma função, é um papel e um serviço.

A norma europeia obriga a indicação de um responsável por este serviço em três hipóteses: a) em autoridades públicas b) em empresas cujo objeto consista em monitoramento regular ou sistemático de titulares em larga escala, ou c) em empresas que tratem em larga escala dados pessoais de categoria especial, tais como dados que indiquem pertença a grupo étnico, religioso, político, sindical, ou dados de saúde, médicos e sexuais, por exemplo.

A lei brasileira não se pronunciou sobre as hipóteses obrigatórias de exercício do encarregado, mas reconhece expressamente seu serviço e dele não prescinde.

Sua menção na lei já é claro indício de que será valorizado pela autoridade de proteção de dados e pelos tribunais, sobretudo se no exercício pleno de sua capacidade para conformar os tratamentos à norma.

Contar com o serviço de um encarregado de proteção de dados, à parte o intrínseco benefício técnico, será visto como um atestado de confiança, segurança, qualidade e respeito aos dados dos indivíduos em tratamento.  

Ficamos à disposição para maiores esclarecimentos sobre este serviço e sobre soluções de gestão e proteção de dados no endereço thomas.prete@outlook.com.