Data Protection Office ou Encarregado é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) segundo a Lei nº 13.853, de 2019.
O DPO é uma pessoa (ou empresa) nomeada pela pessoa jurídica que detêm os dados que precisam ser tratados (a controladora). Ele será o elo entre essa pessoa jurídica, os titulares dos dados (pessoas nominais aos quais os dados se referem) e a Autoridade Nacional de Proteção de Dados (ANPD), que ainda está em processo de elaboração;
Esta função assegura que os processos internos da organização envolvendo dados de clientes, colaboradores, fornecedores e outros indivíduos estejam em compliance. Ele auxiliar as pessoas da empresa que fazem tratamento de dados pessoais em relação ao cumprimento de suas obrigações legais referentes à privacidade.
COMO É DEFINIDO O DATA PROTECTION OFFICE?
No que tange à LGPD, o controlador deverá nomear o encarregado e divulgar publicamente seus dados, cabendo à ANPD estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
A LGPD especifica que empresas que detêm um volume alto de dados pessoais ou sensíveis (raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico, ou dados de crianças) precisam sim ter um profissional destinado à proteção dos dados.
A lei estipula que a identidade (nome) e as informações de contato do DPO deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site de quem controla os dados pessoais, conforme descrito no artigo 41, § 1º.
Isto significa que todas as empresas que possua um website e colete dados pessoais dos consumidores (ainda que a coleta não seja feita através do website), deverão indicar explicitamente no website quem será o encarregado (DPO) da empresa e as informações de contato deste profissional.
A resolução CD/ANPD de Janeiro/22 define que as startups, pequenas empresas e organizações sem fins lucrativos podem deixar de nomear um DPO, mas ao mesmo tempo, precisarão ter uma (ou mais pessoas) preparadas para realizar todas as funções que estariam sob a responsabilidade deste profissional.
Após as alterações introduzidas pela MP n° 869/188, convertida em Lei 13.853/19, o encarregado não precisa mais ser uma pessoa natural, abrindo espaço para a possibilidade de indicação de pessoas jurídicas, comitês ou grupos de trabalho, que podem exercer tais funções.
Assim, atualmente é possível que o encarregado (DPO) seja um empregado da empresa (pessoa natural) ou um terceiro prestador de serviços (pessoa física ou jurídica). O modelo que mais gostamos de recomendar aos clientes é de que seja estabelecido um comitê e um dos participantes seja nomeado, mas sem perder o suporte das demais pessoas
QUAIS AS FUNÇÕES DO DPO?
Na LGPD estão definidas as seguintes atribuições:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e;
- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares
A principal função do DPO é garantir as melhores práticas durante todos os processos que envolvem dados pessoais, sejam eles de clientes, colaboradores ou parceiros.
Na prática, o profissional auxilia as organizações públicas e privadas nas adaptações necessárias à nova lei, de modo a estruturar um planejamento focado no aumento da segurança das informações que estão sob sua responsabilidade. Além disso, deve prestar contas para a Autoridade Nacional de Proteção de Dados (ANPD) e outras entidades, como o Ministério Público.
Para que as atribuições do Data Protection Officer fiquem mais claras, veja algumas delas:
- assegurar o cumprimento das políticas de segurança da informação e proteção de dados;
- conscientizar e informar a todos que lidam com dados pessoais das suas obrigações nos termos da presente lei e demais disposições em matéria de proteção de dados;
- controlar e regulamentar para a conformidade com a LGPD, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal envolvidos em operações de processamento e auditorias relacionadas;
- fiscalizar atividades de tratamento;
- acompanhar e monitorar o desenvolvimento do Relatório de Impacto sobre Proteção de Dados (RIPD);
- avaliar riscos de violações de privacidade e criação de medidas para minimizá-los;
- atualizar registros de atividades de tratamento de dados;
- prestar aconselhamento, se tal for solicitado, no que diz respeito à avaliação de impacto sobre a proteção de dados;
- gerenciar o cumprimento das cláusulas contratuais de segurança da informação junto a fornecedores;
- ser o ponto de contato com titulares dos dados e estar pronto para receber reclamações e denúncias e responder questionamentos de pessoas sobre o uso de dados na empresa;
- cooperar com a autoridade supervisora nas solicitações de documentos e informações referente as medidas adotadas pelo Controlador;
Agora imagine fazer tudo isso sem ferramenta apropriada, por isso não dispenso o uso de sistema para dar mais clareza e controle ao DPO.
QUAIS AS COMPETÊNCIAS, HABILIDADES E CONHECIMENTOS NECESSÁRIOS PARA O DPO?
O profissional deverá contar com soft skills (habilidades pessoais e interpessoais) que lhe permitam ter um bom trânsito no trabalho com os colegas e no trato com os titulares, capacidade didática (para comunicar-se sem jargões técnicos ou jurídicos) e uma visão cultural global.
Por razões de custo, fluência na comunicação, produtividade e responsabilidades, o profissional escolhido para desempenhar o cargo deveria reunir o maior número possível de habilidades, detendo as habilidades jurídicas e técnicas suficientes para realizar uma avaliação das práticas de proteção de dados de forma independente.
Na ausência do profissional ideal, o controlador poderá encontrar o conjunto dessas habilidades em uma equipe, mediante contratação direta ou terceirização, com diversos arranjos possíveis, assim como são variados os tipos e tamanhos de negócios.
As competências definidas para a função do Encarregado o colocarão em condições de não apenas exercer as atividades que lhe são impostas pela lei mas, de forma mais ampla, conduzir as empresas à implementação de um verdadeiro programa de privacidade.
Deverá exercer sua função com independência e confidencialidade, o que indica a necessidade de um profissional maduro e apto a dialogar com todas as áreas da empresa.
Para ser um DPO é preciso ter conhecimento multidisciplinar, envolvendo tecnologia, gestão de informação e área jurídica. Não se exigem formações específicas para o cargo. A prioridade, nesse caso, é garantir que o mesmo seja 100% dedicado à gestão, governança e transparência dos dados corporativos.
O Data Protection Officer deve ter conhecimentos não só sobre dados, mas de processos de Governança Corporativa e de TI, avaliação de riscos de privacidade e segurança bem como conhecimento especializado em leis e práticas de proteção de dados.
O DPO precisa também possuir habilidades em Tecnologia da Informação para compreender os mecanismos de segurança a serem implementados a fim de prevenir, detectar ou corrigir incidentes envolvendo dados pessoais para evitar vazamentos ou acessos indevidos.
QUAIS OS REQUISITOS BÁSICOS PARA O DPO EXERCER SUA FUNÇÃO?
- Estando amplamente exposto a todas as questões relacionadas à proteção de dados pessoais dentro de uma organização, é fundamental que o DPO disponha dos recursos necessários para executar suas tarefas e aprimorar seus conhecimentos;
- É importante frisar que o profissional não precisa trabalhar sozinho. Esse pode ter o auxílio de um grupo de especialistas com noções aprofundadas de cada área, de forma a fazer uma implementação eficaz de mapeamentos, bem como uma elaboração assertiva do DPIA e criação de políticas.
- É possível trabalhar como DPO de forma interna, ou seja, como funcionário de uma empresa, ou como prestador de serviços, seja pessoa física ou jurídica. Como citamos, não há exigências quanto à qualificação profissional.
- É recomendado que seja uma pessoa ou área independente da empresa, ou até terceirizada. Assim, ela pode exercer suas atividades sem restrições e intermediações da empresa, já que nem sempre as medidas ou investigações serão em prol dos interesses imediatos da empresa.
- Outra recomendação é que a identidade e informações de contato dessa pessoa, ou de um responsável pelo setor, estejam disponíveis. É preciso que funcionários, clientes e demais pessoas externas possam acessar o DPO para fazer questionamentos, tirar dúvidas e exigir seus direitos previstos na LGPD.
- O DPO, no desempenho de sua função, deve conhecer plenamente as atividades das empresas, as alocações de equipes e suas responsabilidades no que tange ao processamento de dados pessoais e ao monitoramento que se estende a fornecedores e terceiros.
- A ideia de privacidade trazida pela LGPD levanta a necessidade da elaboração de políticas internas para alinhar os sistemas das empresas aos parâmetros de privacidade e controles de segurança, além de estar em compliance com a legislação e criar uma mentalidade a respeito da proteção de dados.
QUAL A IMPORTÂNCIA DO DPO PARA A ORGANIZAÇÃO?
A função do Encarregado mostra-se fundamental para que as organizações estejam em conformidade com a LGPD e para que os riscos decorrentes do tratamento de dados pessoais sejam gerenciados de forma eficaz.
Face a obrigatoriedade da indicação do Encarregado, a discussão sobre as incumbências do cargo é de relevante importância prática para as organizações, seja pela responsabilidade envolvida nas atividades de tratamento, seja pelos custos a serem suportados pelas empresas
É um profissional indispensável para evitar as sanções, ao mesmo tempo em que se garante uma boa reputação junto ao público-alvo e o mercado, pois a preocupação com segurança cibernética é cada vez maior entre pessoas físicas e jurídicas.
É recomendado que qualquer empresa que tenha recursos para investir em um DPO faça isso. É um sinal de compromisso com a ética e segurança, importante não só para a reputação da empresa.
ONDE O DATA PROTECTION OFFICE DEVE FICAR NA ORGANIZAÇÃO?
Considerando o conceito de três linhas de defesa proposto pelo IIA e COSO, gosto mais de ver o DPO associado ás áreas relacionadas a Controles Internos, Compliance, e Governança de TI.
Prós: terá força para materializar os pontos baseado no modelo de riscos corporativos.
Contra: Em todas as recomendações do DPO terá um caráter de cobrança e muitas vezes com viés punitivo. Assim, áreas poderão deixar de procurar o DPO para não relatar possíveis problemas com receio de punições.
Agora que você já sabe mais sobre o DPO, que tal nomear o da sua empresa?