Aprendizado e descoberta 7min de Leitura - 02 de junho de 2021

DPO, tudo que você precisa saber

DPO segurando escudo de proteção

This post is also available in: Português

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro do ano passado, alterando, de maneira representativa, a forma com que os dados pessoais são tratados por pessoas e empresas.

A LGPD traz uma série de normatizações que deverão ser seguidas por pessoas e empresas que buscam pela conformidade com a Lei.

Dentre as alterações previstas, surge a figura do DPO (Data Protection Officer),também conhecido como encarregado, que é o profissional responsável por ser o elo entre controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Continue a leitura deste blog post para entender um pouco mais sobre as responsabilidades e qualificações de um DPO, além de outras informações relevantes sobre seu papel na estrutura de uma empresa em conformidade com a LGPD.

Tópicos abordados:

  • O que é um DPO?
  • O que faz um DPO?
  • Qual a importância de um DPO?
  • Autoridade supervisora
  • DPO e AIPDs
  • Responsabilização do DPO
  • Qualificações recomendadas para um DPO
  • Minha empresa precisa de um DPO?
  • DPO pode ser externo?

O que é um DPO?

O Data Protection Officer (DPO) é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
As atividades de DPO podem ser exercidas tanto por pessoas físicas, como por pessoas jurídicas.

Os DPOs serão designados com base nas qualidades profissionais. Particularmente nos seus conhecimentos especializados no domínio das práticas de proteção de dados. O DPO pode ser um membro da equipe do controlador ou do operador, ou uma pessoa externa trabalhando sob um contrato de serviço.

O que faz um DPO?

O DPO deve ter conhecimentos não só sobre dados, mas sobre processos de Governança Corporativa. Ele deve ser o responsável por fiscalizar o cumprimento da LGPD e orientar funcionários e terceiros da empresa em como proteger e manusear devidamente os dados que a empresa possui.

Além disso, deve estar pronto para receber reclamações e denúncias e responder questionamentos de pessoas sobre o uso de dados na empresa. Por fim, é também a pessoa responsável por dialogar com a Autoridade Nacional de Proteção de Dados e prestar qualquer esclarecimento a ela e outras agências reguladoras.

Responsabilidades e tarefas

O DPO possui várias responsabilidades, entre elas estão:

  • Estar envolvido em todas as questões relacionadas a proteção de dados pessoais;
  • Recomenda-se que suas atividades sejam executadas com autonomia e que não receba instruções sobre o exercício das suas tarefas;
  • Recomenda-se que seja imparcial, neutro a qualquer resultado da empresa;
  • Manter seu conhecimento atualizado;
  • Reportar-se ao mais alto nível de gestão do controlador;
  • Idealmente, fazer parte de uma área de risco/conformidade ou governança;
  • Estar acessível para os titulares de dados:
  • Para responder às solicitações de acesso e as reclamações;
  • Para operar como mediador em qualquer discussão;
  • Conduzir suas tarefas com sigilo e confidencialidade.

Além de suas responsabilidades, o DPO possui algumas tarefas obrigatórias, que também são chamadas de tarefas primárias:

  • Informar e aconselhar o controlador ou o operador e os funcionários relacionados às suas obrigações em relação a LGPD;
  • Monitorar a conformidade com a LGPD:
  • Isso inclui supervisionar documentação, processos e registros;
  • Fornecer conselhos quando solicitado, no que diz respeito ao relatório de impacto à proteção de dados (RIPD):
  • Não necessariamente o DPO é quem realiza a RIPD;
  • Cooperar com a autoridade supervisora;
  • Atuar como ponto de contato para a autoridade supervisora.

O DPO também pode executar outras tarefas além de suas tarefas obrigatórias, desde que elas não resultem em conflitos de interesses.

Como exemplo de posições conflitantes temos: CEO, COO, CFO, Head de Marketing, Head de Recursos Humanos, Head de Ti, etc.

Qual a importância do DPO?

Com o passar dos anos, a evolução da tecnologia e do tratamento de dados, a presença e atuação de um DPO se tonou cada vez mais necessária dentro de empresas que armazenam e lidam com dados em seu cotidiano.

Ainda que a lei brasileira não especifique a formação necessária para se tornar um DPO, o regulamento europeu (GDPR) é claro sobre a necessidade de ser alguém que tem conhecimento multidisciplinar contemplando as leis e as técnicas de proteção de dados (Art. 37.5 da GDPR).

Na LGPD, Art. 51 IV, diz que o profissional deve executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Com o DPO envolvido em todas as ações de proteção de dados, a empresa garante maior assertividade às suas iniciativas. Isso traz uma maior autonomia ao profissional, que trabalha sem limitações da chefia ou autoridade supervisora.

O compromisso do DPO deve ser primeiro com a transparência e segurança dos dados do usuário, e não com a imagem da empresa, porém, isso acabe vindo como consequência.

A importância da atuação do DPO aparece ainda em seu trabalho de conscientização junto aos outros colaboradores da equipe. Como ele possui compreensão sobre os perigos e os mecanismos de segurança, acaba se tornando uma referência sobre o assunto dentro da empresa.

É importante que seu cargo seja divulgado publicamente no site da instituição.

Além de contribuir para uma percepção positiva da empresa, a iniciativa de fato traz mais transparência e confiança para o usuário, que consegue observar a presença de um profissional dedicado à segurança de suas informações.

Responsabilização

Os DPOs não são pessoalmente responsáveis pelo não cumprimento de obrigações relacionadas à proteção de dados pessoais. O cumprimento das obrigações é responsabilidade do controlador e do operador.

Existem alguns países que responsabilizam a pessoa do DPO, inclusive criminalmente, como as Filipinas, Irlanda e Singapura, por exemplo.

No Brasil, a LGPD não responsabiliza o DPO.

Qualificações recomendadas para um DPO

A GDPR e a LGPD não estabelecem as qualificações mínimas exigidas para sua atuação. Porém, há certos atributos e conhecimentos recomendados para este papel.

  • Especialização em leis de privacidade de dados: Nem na GDPR e nem na LGPD há exigência de diploma em Direito;
  • Qualificações/certificações profissionais relacionadas à proteção de dados e/ou segurança da informação;
  • Qualificações/certificações profissionais relevantes para a indústria ou setor;
  • Experiência na implementação de medidas e/ou frameworks de proteção de dados;
  • Experiência no gerenciamento dos principais sistemas e processos envolvidos na proteção de dados pessoais;
  • Experiência com normas e frameworks de gerenciamento de riscos.

Autoridade supervisora

O DPO opera como uma espécie de intermediário (ponto único de contato) em muitos casos. Ele deve disponibilizar suas informações de contato tanto para a autoridade fiscalizadora – a ANPD – quanto para o público.

Além disso, deve cooperar plenamente com a autoridade supervisora, complementando informações fornecidas em uma consulta prévia, monitorando a implementação das recomendações da autoridade, coletando informações para autoridade sobre uma questão a ser examinada e atuando como mediador no caso de uma violação de dados.

É importante ressaltar que a recém-criada Autoridade Nacional de Proteção de Dados (ANPD), instituída através do Decreto nº 10.474, de 26 de agosto de 2020, poderá estabelecer regras complementares sobre a definição e as atribuições do DPO, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. 

DPO e o RIPD

O RIPD (Relatório de Impacto à Proteção de Dados), é um documento que descreve múltiplas operações de tratamento que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, avalia a necessidade do tratamento e auxilia a gestão dos riscos para determinar medidas necessárias no tratamento dos dados pessoais.

Considerando que o DPO deve aconselhar sobre a realização de relatórios de impacto à proteção de dados, cabe a ele conhecer sobre gerenciamento de riscos e compreender o apetite ao risco da organização e como atender às expectativas da autoridade como supervisora.

Por exemplo, a organização pode aceitar certos riscos que a autoridade rejeitaria. Então, se acontecer uma violação de dados por conta disso, a autoridade pode adotar uma medida severa.

Minha empresa precisa de um DPO?

Na LGPD, segundo o Art. 3º, a lei se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.

Portanto, deve-se considerar que um DPO é necessário para qualquer empresa que trate dados pessoais na condição de controlador.

Pessoas jurídicas de direito público, se forem realizar tratamento de dados pessoais também, necessitam de um DPO, assim como serviços notariais e de registro (equiparados à pessoa jurídica de direito público).
A ANPD pode criar exceções com base na natureza e porte da organização ou volume de operações de tratamento de dados.

DPO pode ser externo?

O DPO não precisa ser um funcionário interno ou dedicado a este papel. Um único DPO é permitido para um grupo de empresas e para um grupo de autoridades ou organismos públicos. Ou seja, um DPO pode ser “compartilhado”.

Vantagens de utilizar um DPO terceirizado

As empresas podem contratar um DPO terceirizado, pois tem mais incentivo para se manter atualizada com as práticas e tecnologias recentes.

Pelo fato de o DPO terceirizado se envolver com várias empresas no setor, ele terá mais experiência em como resolver problemas comuns.

Além disso um serviço de DPO é menos custoso para a empresa do que treinar um funcionário interno, além de poder ser convocado quando necessário e facilitar sua independência.

O aumento do acesso à internet pelo mundo todo faz com que cada vez mais dados sejam diariamente coletados e armazenados na rede.

É gigantesca a quantidade de informações que as empresas têm sobre seus clientes e isso pode gerar graves problemas ao caírem nas mãos erradas.

Por conta disso, os países têm criado legislações especificas para regulamentar a coleta, a gestão e o uso desses dados.

O DPO é um profissional dedicado à proteção dos dados pessoais mantidos pelas organizações, sua atuação envolve conhecimento e habilidades de áreas distintas para garantir que as informações que estão sob tutela da organização não sejam acessadas por terceiros e utilizadas de maneira irregular.

Precisando de um DPO em sua empresa? Conheça o serviço oferecido pela OSTEC e conte com a experiência de especialistas certificados para realização desta atividade.

Se ainda possui dúvidas sobre o tema, fique à vontade para contatar um de nossos especialistas.

This post is also available in: Português