Tribunal de Ética e o DPO as a service
A Lei 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), criou amplas condições para a criação e disseminação de novos produtos e serviços ligados ao seu cumprimento. Um serviço completamente inédito no Brasil e que passou a ser oferecido pelo mercado é o de DPO
as a service (ou DPO como serviço).
Contextualizando a necessidade criada pela LGPD, de acordo com o art. 5º, Inciso VIII, todas as empresas terão que indicar um encarregado (também conhecido como
data protection officer ou DPO), ou seja, uma “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. O encarregado, inicialmente, teria que ser uma pessoa natural, o que mudou em decorrência da Lei 13.853/2019, que abriu a possibilidade de pessoas jurídicas também exercerem a atividade. Em outras palavras, as pessoas jurídicas prestadoras de serviços ligados à privacidade e tratamento de dados passaram a ter mais um nicho de negócios, qual seja, oferecer serviços conhecidos como DPO
as a service.
Entre os interessados por oferecer tal serviço, se incluem advogados e escritórios de advocacia, o que se deu de forma natural, pois, de um lado, já vinham atuando nos projetos de adequação dos seus clientes à LGPD e, de outro, o DPO deve ter conhecimento jurídico sobre a lei (a necessidade de conhecimento jurídico fica implícita nas funções a serem exercidas pelo DPO, que deverá orientar a forma como o tratamento de dados se dá dentro das empresas, nos termos do artigo 41, § 2º, III).
Contudo, a LGPD, ao estabelecer regulamento específico sobre a atividade do DPO, ainda que tal regulamento seja por demais exíguo, pode ter afastado o exercício da atividade de DPO do advogado e seu escritório. Explicamos: o conhecimento jurídico-regulatório, apesar de ser recomendável, não é “
conditio sine qua non” para o exercício da função do encarregado nomeado pelas organizações, na medida em que o profissional que desempenhará tal função de forma eficiente será aquele que não só conseguir reunir os conhecimentos multidisciplinares exigidos pela diversidade de aspectos envolvidos, mas também dominar as habilidades essenciais que o desafiarão no dia-a-dia como segurança da informações e regras de processos e
compliance. Sendo assim, estaríamos diante de uma função (DPO) cujo exercício não é exclusivo da advocacia.
Isto posto, cabe a pergunta: advogados e sociedades de advocacia poderiam prestar serviços de DPO as a service? Quanto aos advogados em geral, está na base da atividade do profissional a manutenção de sua autonomia e independência, ou seja, ele deve se afastar do exercício profissional que comprometa esses valores, inclusive se atuar como empregado (art. 4º do Código de Ética). Assim, cumular duas funções poderá fazer com que o advogado se depare com conflito de interesses entre as atribuições exercidas. Essa problemática não é nova e foi enfrentada pela Ordem dos Advogados de Portugal, no contexto da aplicação da
General Data Protection Regulation - GDPR (lei de proteção de dados europeia). Segundo seu parecer, “os advogados estão impedidos de exercer a advocacia e, assim, impedidos de exercer o mandato forense ou a consulta jurídica, para entidades para quem exerçam, ou tenham exercido as funções de Encarregado de Proteção de Dados” (Parecer n. 14/PP/2018-G).
Todavia, quando à possibilidade de sociedades atuarem como DPO, levamos a questão ao Tribunal de Ética Profissional dos Advogados do Brasil da Seccional de São Paulo. Isso porque, segundo o art. 15 da Lei n. 8.906, de 04 de julho de 1994 (Estatuto da Advocacia e da OAB), as sociedades de advogados devem se restringir à “prestação de serviços de advocacia”, o que não inclui o DPO as a Service, vez que esse serviço é multidisciplinar. Nesse sentido, a nosso entender, os escritórios não poderiam ser declarados encarregados de tratamento de dados pessoais.
Diante da insegurança jurídica criada pelo cenário exposto acima, nosso escritório ingressou com uma consulta junto ao Tribunal de Ética Profissional dos Advogados do Brasil da Seccional de São Paulo para que ele se pronuncie sobre se é possível às sociedades de advogados exercerem a atividade de DPO. Tal consulta foi pautada para julgamento no dia 8 de julho deste ano e a expectativa é que se confirme a vedação, considerando que a função não se dedica à atividade da advocacia.
Entendimento diverso, permitindo a atuação dos escritórios como DPO, poderia abrir precedentes contrários a decisões já emitidas pelos tribunais de ética em geral quando proibiram o oferecimento de outros tipos de serviços por escritórios advocatícios, como foi, no passado, o caso de serviços imobiliários e contábeis.
