Dossiê DPO (Data Protection Officer): O que é, o que faz?

No Brasil, em 29 de julho de 2021 foi reconhecida a ocupação de DPO/Encarregado pelo tratamento de dados pessoais na Classificação Brasileira de Ocupações – CBO.

Agora você deve estar se perguntando: o que é um DPO/encarregado de dados? Qual seu papel nas empresas? Quais suas funções?

Por isso, vamos esclarecer todas as dúvidas sobre esse papel que surgiu da Lei Geral de Proteção de Dados.

A origem do DPO

Assim como grande parte da LGPD, o papel de DPO (Data Protection Officer) também se originou da GDPR – Lei de proteção de dados da Europa.

No velho continente foi identificada a necessidade de se ter uma pessoa responsável por fazer a gestão das demandas de privacidade em cada negócio.

Não é de se espantar que seja necessário a definição de uma pessoa para cuidar da privacidade dos titulares de dados pessoais em uma empresa, sendo que é um assunto muito abrangente e complexo para não se ter um acompanhamento personalizado.

O DPO brasileiro (Encarregado de Dados Pessoais) tem basicamente o mesmo papel que o DPO europeu, portanto a GDPR pode ser tomada como referência para nortear as ações do responsável pela privacidade aqui no país.

A privacidade e o encarregado de Dados Pessoais

Antes de falarmos um pouco sobre as responsabilidades de um Encarregado de Dados Pessoais, vamos esclarecer algumas coisas sobre privacidade e LGPD.

Afinal, para entender o papel de um profissional é necessário que se entenda o contexto em que ele está envolvido.

Se tentarmos resumir a LGPD em uma palavra, esta seria a transparência. Mas por que?

Porque antes de tudo, a privacidade trabalha basicamente no poder que o titular dos dados tem sobre suas informações. Este poder abrange a informação sobre como o dado é coletado, tratado, protegido, compartilhado, entre outros.

Então, a transparência é essencial para que o titular tenha o PODER sobre seus dados. Aí que entra o papel do DPO.

A atuação do Data Protection Officer

A atividades do DPO podem ser resumidas em 4 pontos principais, de acordo com a LGPD. os quatro são:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Como pode ser observado, o primeiro e o segundo item falam justamente sobre a garantia de transparência com o titular de dados, a autoridade nacional – Agência Nacional de Proteção de Dados (ANPD).

Dessa forma podemos considerar o Encarregado de Dados Pessoais como interface de comunicação entre a empresa, os titulares de dados pessoais e a ANPD.

No terceiro ponto podemos constatar que o DPO deve ter o mínimo de conhecimento sobre políticas, processos e tecnologias que garantam a privacidade e segurança dos dados pessoais.

O que vemos muito são profissionais da área jurídica ou de T.I. atuando de forma autônoma, no entanto esses profissionais, por serem especialistas em suas áreas, acabam não atendendo por completo o que a lei pede.

Um bom exemplo é um advogado implementar um programa de privacidade em uma empresa e não ter conhecimento sobre técnicas e tecnologias de cibersegurança.

Assim como um gerente de T.I. vai falhar com questões contratuais e comunicação com os titulares de dados.

As skills de um DPO abrangem desde o conhecimento jurídico até o domínio de ferramentas de cibersegurança, além da capacidade comunicativa para alinhar todos os colaboradores à lei.

O quarto item reforça a questão do conhecimento amplo das duas áreas. O encarregado pode receber as solicitações da autoridade de proteção de dados e assim traduzi-las para processos, controles e tecnologias que devem ser utilizadas para atender essas demandas.

O panorama do DPO

Vimos que o Encarregado de Dados Pessoais deve ser multidisciplinar com conhecimento prévio em várias áreas.

Por mais que a Lei Geral de Proteção de Dados não estabeleça uma formação obrigatória para o profissional, é importante que este tenha domínio sobre as duas áreas principais que a privacidade abrange, jurídico e segurança da informação.

É estudada a necessidade de uma certificação para DPO, contudo, no dia de hoje, ainda não são feitas exigências de lei neste sentido.

Também está sendo considerado, para pequenas e médias empresas, a adoção do CEO como DPO. Contudo, existe o risco do não atendimento efetivo das necessidades do papel. 

Então, cuidado!

Outro ponto importante é que a LGPD permite que sejam contratados DPOs terceirizados para realização do trabalho, ou seja, seu negócio pode ter um DPO como CLT ou PJ. 

Se o seu negócio não tem um DPO, ou tem, mas ele é especialista em apenas uma área, dê uma olhada nas soluções da Risk Platform.

Todas as soluções dão suporte jurídico e de segurança da informação necessário para a implementação de um bom programa de privacidade na sua empresa.