No Brasil, em 29 de julho de 2021 foi reconhecida a ocupação de DPO/Encarregado pelo tratamento de dados pessoais na Classificação Brasileira de Ocupações – CBO.
Agora você deve estar se perguntando: o que é um DPO/encarregado de dados? Qual seu papel nas empresas? Quais suas funções?
Por isso, vamos esclarecer todas as dúvidas sobre esse papel que surgiu da Lei Geral de Proteção de Dados.
Assim como grande parte da LGPD, o papel de DPO (Data Protection Officer) também se originou da GDPR – Lei de proteção de dados da Europa.
No velho continente foi identificada a necessidade de se ter uma pessoa responsável por fazer a gestão das demandas de privacidade em cada negócio.
Não é de se espantar que seja necessário a definição de uma pessoa para cuidar da privacidade dos titulares de dados pessoais em uma empresa, sendo que é um assunto muito abrangente e complexo para não se ter um acompanhamento personalizado.
O DPO brasileiro (Encarregado de Dados Pessoais) tem basicamente o mesmo papel que o DPO europeu, portanto a GDPR pode ser tomada como referência para nortear as ações do responsável pela privacidade aqui no país.
Antes de falarmos um pouco sobre as responsabilidades de um Encarregado de Dados Pessoais, vamos esclarecer algumas coisas sobre privacidade e LGPD.
Afinal, para entender o papel de um profissional é necessário que se entenda o contexto em que ele está envolvido.
Se tentarmos resumir a LGPD em uma palavra, esta seria a transparência. Mas por que?
Porque antes de tudo, a privacidade trabalha basicamente no poder que o titular dos dados tem sobre suas informações. Este poder abrange a informação sobre como o dado é coletado, tratado, protegido, compartilhado, entre outros.
Então, a transparência é essencial para que o titular tenha o PODER sobre seus dados. Aí que entra o papel do DPO.
A atividades do DPO podem ser resumidas em 4 pontos principais, de acordo com a LGPD. os quatro são:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Como pode ser observado, o primeiro e o segundo item falam justamente sobre a garantia de transparência com o titular de dados, a autoridade nacional – Agência Nacional de Proteção de Dados (ANPD).
Dessa forma podemos considerar o Encarregado de Dados Pessoais como interface de comunicação entre a empresa, os titulares de dados pessoais e a ANPD.
No terceiro ponto podemos constatar que o DPO deve ter o mínimo de conhecimento sobre políticas, processos e tecnologias que garantam a privacidade e segurança dos dados pessoais.
O que vemos muito são profissionais da área jurídica ou de T.I. atuando de forma autônoma, no entanto esses profissionais, por serem especialistas em suas áreas, acabam não atendendo por completo o que a lei pede.
Um bom exemplo é um advogado implementar um programa de privacidade em uma empresa e não ter conhecimento sobre técnicas e tecnologias de cibersegurança.
Assim como um gerente de T.I. vai falhar com questões contratuais e comunicação com os titulares de dados.
As skills de um DPO abrangem desde o conhecimento jurídico até o domínio de ferramentas de cibersegurança, além da capacidade comunicativa para alinhar todos os colaboradores à lei.
O quarto item reforça a questão do conhecimento amplo das duas áreas. O encarregado pode receber as solicitações da autoridade de proteção de dados e assim traduzi-las para processos, controles e tecnologias que devem ser utilizadas para atender essas demandas.
Vimos que o Encarregado de Dados Pessoais deve ser multidisciplinar com conhecimento prévio em várias áreas.
Por mais que a Lei Geral de Proteção de Dados não estabeleça uma formação obrigatória para o profissional, é importante que este tenha domínio sobre as duas áreas principais que a privacidade abrange, jurídico e segurança da informação.
É estudada a necessidade de uma certificação para DPO, contudo, no dia de hoje, ainda não são feitas exigências de lei neste sentido.
Também está sendo considerado, para pequenas e médias empresas, a adoção do CEO como DPO. Contudo, existe o risco do não atendimento efetivo das necessidades do papel.
Então, cuidado!
Outro ponto importante é que a LGPD permite que sejam contratados DPOs terceirizados para realização do trabalho, ou seja, seu negócio pode ter um DPO como CLT ou PJ.
Se o seu negócio não tem um DPO, ou tem, mas ele é especialista em apenas uma área, dê uma olhada nas soluções da Risk Platform.
Todas as soluções dão suporte jurídico e de segurança da informação necessário para a implementação de um bom programa de privacidade na sua empresa.