This post is also available in: Português
A Lei Geral de Proteção de Dados (LGPD) está prestes a entrar em vigor em nosso país, alterando de maneira representativa a forma com que os dados pessoais serão tratados por pessoas e empresas
A LGPD trará uma série de normatizações que deverão ser seguidas por pessoas e empresas que buscam pela conformidade com a Lei.
Dentre as alterações previstas, surge a figura do DPO (Data Protection Officer), profissional responsável por ser o elo entre controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Continue a leitura deste blog post para entender um pouco mais sobre as responsabilidades e qualificações de um DPO, além de outras informações relevantes sobre seu papel na estrutura de uma empresa em conformidade com a LGPD.
O que é um DPO?
O Data Protection Officer (DPO) é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Pode ser tanto pessoa física como jurídica (antes somente pessoa física poderia ser DPO, mas após a edição da MP (LEI Nº 13.709), pessoa jurídica passa a poder).
Os DPOs serão designados com base nas qualidades profissionais. Particularmente nos seus conhecimentos especializados no domínio do Direito e das práticas de proteção de dados. Pode ser um membro da equipe do controlador ou do processador, ou uma pessoa externa trabalhando sob um contrato de serviço.
O DPO possui várias responsabilidades, entre elas estão:
- Ser responsável pela proteção de dados e ter independência na realização de suas tarefas. Ou seja:
- Não deve receber instruções sobre o exercício das suas tarefas;
- Não pode ser dispensado ou penalizado por executar suas tarefas;
- Estar envolvido em todas as questões relacionadas a proteção de dados pessoais;
- Manter seu conhecimento atualizado;
- Reportar-se ao mais alto nível de gestão do controlador:
- Idealmente, fazer parte de uma área de risco/conformidade ou governança;
- Estar acessível para os titulares de dados:
- Para responder às solicitações de acesso e as reclamações;
- Para operar como mediador em qualquer discussão;
- Conduzir suas tarefas com sigilo e confidencialidade.
Além de suas responsabilidades, o DPO possui algumas tarefas obrigatórias, que também são chamadas de tarefas primárias:
- Informar e aconselhar o controlador ou o processador e os funcionários relacionados às suas obrigações em relação a GDPR/LGPD;
- Monitorar a conformidade com a GDPR/LGPD:
- Isso inclui supervisionar documentação, processos e registros;
- Fornecer conselhos quando solicitado, no que diz respeito à avaliação do impacto da proteção de dados (AIPD):
- Não necessariamente o DPO é quem realiza a AIPD;
- Cooperar com a autoridade supervisora;
- Atuar como ponto de contato para a autoridade supervisora.
O DPO também pode executar outras tarefas além de suas tarefas obrigatórias, desde que elas não resultem em conflitos de interesses.
Segundo orientações do GT29, o DPO não pode estar em uma posição na organização que o leve a determinar a finalidade ou os meios para processamento de dados pessoais.
Como exemplo de posições conflitantes temos: CEO, COO, CFO, Head de Marketing, Head de Recursos Humanos, Head de Ti, etc.
Autoridade supervisora
O DPO opera como uma espécie de intermediário (ponto único de contato) em muitos casos. Ele deve disponibilizar suas informações de contato tanto para a autoridade fiscalizadora quanto para o público.
Além disso, deve cooperar plenamente com a autoridade supervisora, complementando informações fornecidas em uma consulta prévia, monitorando a implementação das recomendações da autoridade, coletando informações para autoridade sobre uma questão a ser examinada e atuando como mediador no caso de uma violação de dados.
DPO e AIPDs
Considerando que o DPO deve aconselhar sobre a realização de avaliações de impacto à proteção de dados, cabe a ele conhecer sobre gerenciamento de riscos e compreender o apetite ao risco da organização e como atender às expectativas da autoridade como supervisora.
Por exemplo, a organização pode aceitar certos riscos que a autoridade rejeitaria. Então, se acontecer uma violação de dados por conta disso, a autoridade pode adotar uma medida severa.
Responsabilização do DPO
Os DPOs não são pessoalmente responsáveis pelo não cumprimento de obrigações relacionadas à proteção de dados pessoais. O cumprimento das obrigações é responsabilidade do controlador e do operador.
Existem alguns países que responsabilizam a pessoa do DPO, inclusive criminalmente, como as Filipinas, Irlanda e Singapura, por exemplo.
No Brasil, a LGPD não responsabiliza o DPO.
Qualificações recomendadas para um DPO
O GDPR e a LGPD não estabelecem as qualificações mínimas exigidas para sua atuação. Porém, há certos atributos e conhecimentos recomendados para este papel.
- Especialização em leis de privacidade de dados: Nem na GDPR e nem na LGPD há exigência de diploma em Direito;
- Qualificações/certificações profissionais relacionadas à proteção de dados e/ou segurança da informação;
- Qualificações/certificações profissionais relevantes para a indústria ou setor;
- Experiência na implementação de medidas e/ou frameworks de proteção de dados;
- Experiência no gerenciamento dos principais sistemas e processos envolvidos na proteção de dados pessoais;
- Experiência com normas e frameworks de gerenciamento de riscos.
Quando um DPO é obrigatório na LGPD?
Na LGPD, as exceções sobre quais controladores necessitam de DPO ainda não foram definidas e não há previsão desse papel para operadores.
Por enquanto, deve-se considerar que um DPO é necessário para qualquer empresa que trate dados pessoais na condição de controlador.
Pessoas jurídicas de direito público se forem realizar tratamento de dados pessoais também necessitam de um DPO, assim como serviços notariais e de registro (equiparados à pessoa jurídica de direito público).
A ANPD pode criar exceções com base na natureza e porte da organização ou volume de operações de tratamento de dados.
Quando um DPO é obrigatório no GDPR?
Conforme Artigo 37 da GDPR, tanto o controlador como o processador devem designar DPO em qualquer caso em que o tratamento for realizado por uma autoridade ou organismo público, com exceção dos tribunais que atuam na sua capacidade judicial (cláusula 1a); Em que as atividades principais do controlador ou do processador consistam em operações de processamento que, devido à sua natureza, âmbito e/ou finalidade, requerem um monitoramento regular e sistemático dos titulares de dados em grande escala (cláusula 1b); E em que as atividades principais do controlador ou do processador consistam no processamento em grande escala de categorias especiais de dados nos termos do artigo 9.º e dados pessoais relativos a condenações penais e infrações previstas no artigo 10.º (cláusula 1c).
DPO pode ser externo?
O DPO não precisa ser um funcionário interno ou dedicado a este papel. Um único DPO é permitido para um grupo de empresas e para um grupo de autoridades ou organismos públicos. Ou seja, um DPO pode ser “compartilhado”.
Vantagens de utilizar um DPO terceirizado
As empresas podem contratar um DPO terceirizado, pois tem mais incentivo para se manter atualizado com as práticas e tecnologias recentes.
Pelo fato de o DPO terceirizado se envolver com várias empresas no setor, ele terá mais experiência em como resolver problemas comuns.
Além disso um serviço de DPO é menos custoso para a empresa do que treinar um funcionário interno, além de poder ser convocado quando necessário e facilitar sua independência.
O aumento do acesso à internet pelo mundo todo faz com que cada vez mais dados sejam diariamente coletados e armazenados na rede.
É gigantesca a quantidade de informações que as empresas têm de seus clientes e isso pode gerar graves problemas ao caírem nas mãos erradas.
Por conta disso, os países têm criado legislações especificas para regulamentar a coleta, a gestão e o uso desses dados.
O DPO é um profissional dedicado à proteção dos dados pessoais mantidos pelas organizações, sua atuação envolve conhecimento e habilidades de áreas distintas para garantir que as informações que estão sob tutela da organização não sejam acessadas por terceiros e utilizadas de maneira irregular.
Ficou com alguma dúvida? Gostaria de contratar um serviço de DPO? Entre em contato com nossa parceira, Dédalo, e converse com um especialista.
This post is also available in: Português