Em primeiro lugar: DPO significa “Data Privacy Officer” em inglês – um termo da legislação europeia sobre proteção de dados (a General Data Protection Regulation – GDPR). Em português, foi traduzido como “Encarregado” que, segundo a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD), é “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Em termos simples, Encarregado (ou DPO) é a pessoa responsável, dentro de uma entidade, por supervisionar as atividades que envolvam tratamento de dados pessoais e, assim, atuar como intermediador entre todos os agentes envolvidos (controlador, operador, titular e ANPD). Como parte de uma adequação à LGPD por qualquer empresa, inclusive fintechs, em regra, deverá haver a nomeação de um Encarregado. Ocorre que, a própria lei previu que a ANPD poderia estabelecer hipóteses de dispensa de Encarregado.
É por tal razão que muitos se perguntam: “Minha fintech precisa de um DPO”?
Desde a efetiva estruturação da ANPD, em 2020, essa autoridade emitiu diversas normas com o objetivo de aprimorar a legislação sobre proteção de dados no Brasil. Dentre elas, destaca-se a Resolução CD/ANPD nº 2 (“Resolução”), que trata do cumprimento da LGPD pelos “Agentes de Tratamento de Pequeno Porte”.
A Resolução pretende reduzir as obrigações desses “Agentes de Tratamento de Pequeno Porte”, que inclui, entre outras entidades, as microempresas, empresas de pequeno porte e startups.
Dentre as disposições trazidas pela Resolução, está a exceção quanto à obrigatoriedade de nomear um Encarregado. Assim, em regra, pequenas empresas poderiam indicar somente um canal de comunicação para o titular dos dados.
Contudo, a Resolução não se aplica aos agentes de tratamento de pequeno porte que realizam tratamento de alto risco para os titulares. O tratamento de alto risco é definido pelo artigo 4º da Resolução que prevê a necessidade de que este atenda cumulativamente a pelo menos um dos critérios gerais e um dos critérios específicos.
Como critérios gerais, a Resolução estabelece (i) o tratamento de dados pessoais em larga escala, que é analisado levando em consideração o número de titulares, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; e (ii) o tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, caracterizando-se pelos tratamentos que possam impedir o exercício de direitos ou a utilização de um serviço pelos titulares.
Como critérios específicos, são elencados pela Resolução (i) o uso de tecnologias emergentes ou inovadoras, (ii) vigilância ou controle de zonas acessíveis ao público, (iii) decisões tomadas com base unicamente em tratamentos automatizados, para traçar um perfil do titular; e (iv) o uso de dados pessoais sensíveis ou dados pessoais de crianças, adolescentes e idosos.
Dado o exposto, muitas fintechs, ainda que pequenas, não se enquadram na dispensa prevista na regulamentação em vigor. Fintechs de crédito pessoal, por exemplo, geralmente realizam o tratamento de dados pessoais em larga escala usando tecnologias emergentes, de forma automatizada, como inteligência artificial.
Portanto, tratando-se de uma fintech que cumpra um ou mais critérios gerais e específicos, independentemente de seu porte, deve haver a nomeação de um DPO. Além disso, mesmo quando a nomeação não é obrigatória, a indicação do Encarregado ainda é recomendada, sendo uma boa prática para qualquer empresa.
Nesse sentido, a própria LGPD prevê que a adoção de política de boas práticas por empresa eventualmente infratora, será considerada na definição da sanção. Isto é, a nomeação de um DPO tende a abrandar penalidades eventualmente impostas pela ANPD em caso de violação (dolosa ou não) da LGPD.
Ademais, as fintechs em geral precisam atentar para outras normas aplicáveis, principalmente do Banco Central do Brasil (BC). Em setembro de 2023, por exemplo, o BC publicou a Resolução nº 342/2023, que alterou o Regulamento do Pix para incluir disposições sobre incidentes de segurança com dados pessoais. Outra regra importante do BC é a Resolução nº 85/2021 (posteriormente alterada) que trata de Segurança Cibernética e também versa sobre a necessidade de plano de ação e de resposta a incidentes.
A boa notícia é que o Encarregado não precisa ser um empregado ou sócio da fintech. Até é melhor que não o seja, para evitar conflitos de interesse. Preferencialmente, essa pessoa (ou escritório terceirizado) deverá ter expertise no assunto e, no caso das fintechs, é importante ter conhecimento também sobre a regulamentação de outras autoridades, como o BC e a Comissão de Valores Mobiliários.
Se a sua fintech estiver devidamente adequada à LGPD, ela provavelmente já nomeou um Encarregado (interno ou terceirizado). Inclusive, pode ser uma atribuição desse Encarregado verificar o status de adequação da sua empresa à legislação em vigor. Veja: independentemente do porte da sua empresa, ela deve estar adequada à LGPD.
Artigo assinado por Juliana Sene Ikeda, Alan Campos Thomaz e Giovana Boesso do Campos Thomaz Advogados.
Pronto para impulsionar sua fintech? Seja um associado(a) da ABFintechs!
Criada em 2016, a Associação Brasileira de Fintechs (ABFintechs) busca atender e representar as demandas de cerca de 700 fintechs associadas junto aos órgãos governamentais e reguladores, atuando em questões regulatórias importantes para o mercado financeiro e de inovação no Brasil.
Se tornar um associado(a) da ABFintechs proporciona inúmeros benefícios para o desenvolvimento da sua empresa, tais como: preços especiais e possibilidade de participar em eventos promovidos pela associação, atuação ativa no maior ecossistema de fintechs do Brasil e comunicação rápida sobre novas regras e mudanças no mercado financeiro.
Confira mais sobre a ABFintechs e participe da transformação digital do mercado financeiro — acesse nosso site neste link e saiba mais.