Educação Digital 3min de Leitura - 19 de maio de 2021

O que faz um DPO?

Símbolo de autoridade em teclado de notebook

This post is also available in: Português

Com a entrada da LGPD em vigor, em setembro do ano passado, tem se falado muito em privacidade de dados, e as empresas estão preocupadas com a nomeação do encarregado de proteção de dados, também conhecido como DPO (Data Protection Officer, sigla com origem na GDPR).

O papel desse profissional é garantir que a organização realize o tratamento de dados pessoais em conformidade com as regras de proteção de dados aplicáveis.

Portanto, é importante ter o entendimento sobre os papeis e responsabilidades deste novo profissional, que deve ter conhecimentos não só sobre dados, mas sobre processos de Governança Corporativa. O DPO é responsável por fiscalizar o cumprimento da LGPD e orientar funcionários e terceiros em ações que envolvam tratamento e proteção de dados.

Além disso, deve estar pronto para receber reclamações e denúncias e responder questionamentos de pessoas sobre o uso de dados na empresa.

Por fim, é também a pessoa responsável por dialogar com a Autoridade Nacional de Proteção de Dados e prestar qualquer esclarecimento a ela e outras agências reguladoras.

Continue a leitura deste conteúdo e saiba mais sobre as atribuições de um DPO, qual sua importância e qualificações necessárias para exercício da função.

Quais são as atribuições do DPO?

A LGPD traz no parágrafo 2º de seu artigo 41 as atribuições do DPO:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

Paragrafo 2º – As atividades do encarregado consistem em:

  • I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • II – Receber comunicações da autoridade nacional e adotar providências;
  • III – Orientar os funcionários e os controladores da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O DPO também pode executar outras tarefas além de suas tarefas obrigatórias, desde que elas não resultem em conflitos de interesses.

Como exemplo de posições conflitantes temos: CEO, COO, CFO, Head de Marketing, Head de Recursos Humanos, Head de Ti, etc.

Qual a importância do DPO?

Com o passar dos anos, a evolução da tecnologia e do tratamento de dados, a presença e atuação de um DPO se tonou cada vez mais necessária dentro de empresas que tratam dados pessoais.

Ainda que a lei brasileira não especifique a formação necessária para se tornar um DPO, o regulamento europeu (GDPR) é claro sobre a necessidade de ser alguém que tem conhecimento multidisciplinar contemplando as leis e as técnicas de proteção de dados (Art. 37.5 da GDPR).

Na LGPD, Art. 51 IV, diz que o profissional deve executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Com o DPO envolvido em todas as ações de proteção de dados, a empresa garante maior assertividade às suas iniciativas. Isso traz uma maior autonomia ao profissional, que trabalha sem limitações da chefia ou autoridade supervisora.

O compromisso do DPO deve ser primeiro com a transparência e segurança dos dados do usuário, e não com a imagem da empresa, porém, isso acabe vindo como consequência.

A importância da atuação do DPO aparece ainda em seu trabalho de conscientização junto aos outros colaboradores da equipe. Como ele possui compreensão sobre os perigos e os mecanismos de segurança, acaba se tornando uma referência sobre o assunto dentro da empresa.

É importante que seu cargo seja divulgado publicamente no site da instituição.

Além de contribuir para uma percepção positiva da empresa, a iniciativa de fato traz mais transparência e confiança para o usuário, que consegue observar a presença de um profissional dedicado à segurança de suas informações.

Responsabilização do DPO

Os DPOs não são pessoalmente responsáveis pelo não cumprimento de obrigações relacionadas à proteção de dados pessoais. O cumprimento das obrigações é responsabilidade do controlador e do operador.

Existem alguns países que responsabilizam a pessoa do DPO, inclusive criminalmente, como as Filipinas, Irlanda e Singapura, por exemplo.

No Brasil, a LGPD não responsabiliza o DPO por irregularidades associadas ao tratamento de dados em empresas.

Qualificações recomendadas para um DPO

A GDPR e a LGPD não estabelecem as qualificações mínimas exigidas para sua atuação. Porém, há certos atributos e conhecimentos recomendados para este papel.

  • Especialização em leis de privacidade de dados: Nem na GDPR e nem na LGPD há exigência de diploma em Direito;
  • Qualificações/certificações profissionais relacionadas à proteção de dados e/ou segurança da informação;
  • Qualificações/certificações profissionais relevantes para a indústria ou setor;
  • Experiência na implementação de medidas e/ou frameworks de proteção de dados;
  • Experiência no gerenciamento dos principais sistemas e processos envolvidos na proteção de dados pessoais;
  • Experiência com normas e frameworks de gerenciamento de riscos.

O DPO é um profissional dedicado à proteção dos dados pessoais mantidos pelas organizações, sua atuação envolve conhecimento e habilidades de áreas distintas para garantir que as informações que estão sob tutela da organização não sejam acessadas por terceiros e utilizadas de maneira irregular.

Precisando de um DPO em sua empresa? Conheça o serviço oferecido pela OSTEC e conte com a experiência de especialistas certificados para realização desta atividade.

Se ainda possui dúvidas sobre o tema, fique à vontade para contatar um de nossos especialistas.

This post is also available in: Português