Por Renata Diniz
Renata Diniz é advogada formada pela Universidade Federal de Minas Gerais, onde também é mestranda na área de Direito, Tecnologia e Inovação, com pesquisa é focada na proteção de dados pessoais. É também pós-graduada pela Pontifícia Universidade Católica de Minas Gerais (PUC-MG) em Direito de proteção e uso dos dados pessoais.
Possui a certificação CIPM-BR, emitida pela International Association of Privacy Professionals, que compreende a gestão de projetos de governança de dados e compreensão da legislação brasileira sobre o tema.
Atua na área de proteção de dados pessoais através da consultoria para adequação e serviço de DPO as a service. As principais atividades realizadas são o mapeamento de atividades e elaboração de documentação pertinente para a governança de dados dentro de uma empresa.
Data Protection Officer: o que faz e quem pode ser um DPO?
Com o crescimento da importância da proteção de dados pessoais em razão da entrada em vigor da LGPD, uma figura ganhou destaque: o DPO – Data Protection Officer, ou Encarregado. No entanto, ainda existem muitas dúvidas quanto a quais as obrigações dessa figura, a relação dele com a empresa, e quem pode assumir o cargo.
Se você também tem dúvidas sobre o papel do DPO na sua empresa, fique conosco!
O que é o Data Protection Officer (DPO)?
O DPO é um instrumento em um projeto de adequação à proteção de dados pessoais, o responsável no qual todas as questões relativas a esse tema devem estar centralizadas. Não há uma determinação legal quanto à formação desse profissional, mas é importante que seja uma pessoa que conheça bem a estrutura da empresa e que tenha trânsito fácil entre os diversos setores.
Ele deve também ter conhecimento profundo sobre a proteção de dados pessoais, tanto no que diz respeito à LGPD quanto a leis específicas do setor que podem influenciar a postura da empresa.
O Data Protection Officer será o principal contato dos players externos com o sistema interno de proteção de dados pessoais, seja para atender a requerimentos das pessoas cujos dados são tratados ou da Autoridade Nacional de Proteção de Dados. Por isso, ele é essencial para que o restante da estrutura de proteção de dados funcione bem.
Sendo o especialista e o responsável pelo tema na empresa, ele poderá responder às solicitações de maneira mais rápida e assertiva, sem correr o risco de perdê-las em meio à burocracia institucional.
A Lei Geral de Proteção de Dados determina que a ANPD poderá estabelecer exceções à necessidade do DPO, mas até o momento não temos nenhuma especificação nesse sentido. Por isso, todas as empresas que tratam dados pessoais precisam de um Encarregado, seja ele funcionário contratado ou terceirizado.
Como ele é definido na Lei de Proteção de Dados?
A redação original da LGPD determinava que o DPO deveria deter conhecimento técnico-regulatório, e ser capaz de prestar serviço especializado em proteção de dados pessoais. No entanto, esse trecho foi vetado pela Presidência da República, e hoje não há na Lei qualquer especificação sobre quem pode assumir o cargo.
No entanto, estão listadas as funções do DPO, e, através delas, podemos identificar algumas características desejáveis no exercício da função. Na lista, temos: aceitar reclamações, dúvidas e comunicações das pessoas cujos dados são tratados e da Autoridade Nacional e tomar as medidas necessárias, além de orientar colaboradores acerca das normas de proteção de dados pessoais da empresa.
Portanto, ainda que não haja mais a obrigação de detenção conhecimento técnico regulatório, para cumprir satisfatoriamente suas obrigações, é necessário que o Data Protection Officer tenha sim conhecimento sobre proteção de dados pessoais, perpassando as mais diversas leis e regulamentos existentes sobre o tema para os mais diversos setores da economia.
Qual a função do DPO e quais suas principais atividades?
Já especificamente quanto às atividades do DPO, a LGPD é consideravelmente mais clara. A lei determinas as seguintes obrigações para o Encarregado:
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
O DPO deverá estar à disposição dos titulares de dados, e é um instrumento importante para a efetivação dos seus direitos. É para ele que devem ser encaminhadas perguntas e requisições de direito, assim como é papel dele responder a esses questionamentos dentro do prazo razoável e com completude.
O contato direto do DPO deve, inclusive, estar disponível para o público geral, nas políticas de privacidade ou por outra via que lhe dê publicidade e fácil acesso.
Receber comunicações da autoridade nacional e adotar providências;
O contato do Data Protection Officer não deve se limitar aos titulares de dados pessoais. Ele também deverá ser uma fonte de diálogo com a Autoridade Nacional de Proteção de Dados e agências setoriais que imponham requisitos específicos sobre o tema.
Dessa forma, ele será o responsável, por exemplo, por prestar esclarecimentos ao Banco Central acerca da regulação do uso de dados por instituições bancárias.
Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
Além da função de intermediação do contato entre a empresa e terceiros externos interessados, também é papel do DPO apoiar a implementação da LGPD nos diversos setores.
A proteção de dados pessoais é um tema muito novo no Brasil, e ainda não há uma cultura de uso responsável de informações. Sendo o DPO um especialista na área, é sua obrigação disseminar conhecimentos sobre o tema através da estrutura organizacional da empresa, e promover uma mudança de visão.
Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Em uma relação na qual uma empresa trata dados em nome de outra, temos um controlador e um operador, e é o primeiro quem define as diretrizes segundo as quais as informações serão trabalhadas. Por exemplo, se uma empresa contrata contabilidade externa para gerenciar as folhas de pagamento de seus funcionários, essa contabilidade será a operadora dos dados, ou seja, deverá tratá-los seguindo estritamente os limites que lhe foram impostos.
A controladora (aquela que decide o que será feito com as informações e define as regras) poderá criar obrigações para o DPO da operadora, por exemplo o envio de relatórios periódicos acerca do tratamento ou a notificação em caso de recebimento de comunicações da Autoridade Nacional.
Quem pode ser um DPO?
Não há qualquer formação ou certificação obrigatória para o cargo de DPO, cabendo à empresa definir quais os requisitos que melhor atendem seu perfil.
Em geral, os mais cotados para assumir a função tem sido os profissionais das áreas de direito ou segurança da informação. É importante que o Data Protection Officer tenha algum conhecimento sobre ambas as matérias, já que estarão constantemente envolvidas no seu dia a dia, mas é importante ressaltar que há uma diferença importante entre proteção de dados pessoais e segurança da informação.
Ambas diferem quanto ao foco da atuação, sendo na primeira a proteção ao titular, e na segunda o foco é o próprio dado.
Mesmo sabendo que não existe hoje uma certificação oficial da Autoridade Nacional de Proteção de Dados para o exercício da função de DPO no Brasil, provas emitidas por algumas entidades internacionais de grande prestígio têm sido consideradas diferenciais importantes.
Uma das principais organizações na área de proteção de dados é a IAPP – Internacional Association for Privacy Professionals. Ela é internacionalmente reconhecida, e possui enorme prestígio entre profissionais da área, e suas certificações são um sinal claro da qualidade e dedicação do profissional.
Aqui no Camargo & Vieira, nossos profissionais são certificados pela IAPP, e são altamente especializados em proteção de dados pessoais. Se você precisa de um DPO para sua empresa, entre em contato conosco!
