O que é o DPO e qual a importância do profissional na LGPD?

Você sabe o que é o DPO, já ouviu falar? A entrada em vigor da Lei Geral de Proteção de Dados pegou muitas empresas de surpresa. Em meio ao susto, foi necessário providenciar a adequação com a maior urgência possível, e muitas dúvidas surgiram. Um dos pontos que tem tido grande repercussões é a necessidade de contratação de um Encarregado (ou Data Protection Officer, DPO).  

Suas funções dentro da empresa e obrigações perante a LGPD ainda precisam ser compreendidas. Se você também tem dúvidas sobre o tema, fique conosco!  

O que é o DPO – Data Protection Officer? 

A primeira confusão que tem existido está entre a figura do Encarregado na LGPD e o Data Protection Officer – DPO, da GDPR.  

A GDPR é a legislação europeia sobre proteção de dados pessoais, e teve grande influência na Lei brasileira, inclusive ao criar a necessidade de um responsável dentro das empresas por fazer a ponte com as autoridades fiscalizadoras e com as pessoas cujos dados são tratados.  

Tecnicamente, existem algumas diferenças entre a duas figuras, mas, comercialmente, o termo DPO tem sido usado no Brasil para tratar do Encarregado, e não há nenhum problema nisso, já que ambas as funções são, em geral, muito parecidas. Independentemente do nome utilizado, o principal é que a empresa tenha alguém responsável por centralizar todas as demandas relativas à proteção de dados pessoais, e dar a elas a solução mais adequada.  

Ou seja, caso a empresa receba alguma solicitação da ANPD, ou mesmo de um cliente que deseja saber como seus dados são tratados, ela deverá ser encaminhada para o DPO, que então responderá à questão.  

Como o DPO é definido na Lei de Proteção de dados? 

A LGPD não traz uma definição clara de quem é o DPO.   Suas funções estão bem elencadas, mas não há nenhuma especificidade quanto à requisitos para assumir o cargo. Fica a cargo da empresa decidir o perfil do profissional que mais se enquadra em suas necessidades.  

A recomendação, no entanto, é que ele tenha conhecimento da legislação, para poder compreender as exigências da LGPD, assim como algum traquejo com sistemas, e disposição para conhecer a empresa e seus setores a fundo.  

O perfil desse profissional deve se aproximar daquele dos funcionários do setor de compliance. Isso porque ele terá uma tarefa semelhante ao fiscalizar as demais áreas da empresa para averiguar se o tratamento de dados realizado está de acordo com as normas. 

Mas atenção! Já existem decisões na Europa que desencorajam fortemente o acúmulo das duas funções em uma única pessoa.  

Outro ponto importante é que a LGPD não determina que o DPO deve, obrigatoriamente, ser um funcionário da empresa, de forma que ele pode também ser terceirizado para um especialista.  

Por que ele é importante dentro de uma empresa? 

Toda a questão da proteção de dados ainda é muito nova no Brasil. Ao contrário da União Europeia — que inspira nossa legislação —, que já tratava do tema desde os anos 1990, nós ainda estamos definindo como esses temas serão tratados por aqui. 

O DPO é, necessariamente, um especialista, que compreende bem os temas de da LGPD e que acompanha constantemente das discussões sobre o assunto. Isso é o que o torna essencial para uma empresa.  

Como a LGPD diz que as demandas relativas à proteção de dados devem ser resolvidas em prazo razoável, é importante ter um profissional pronto para dar as respostas mais claras e diretas possível.  

Na ausência do DPO, essas demandas podem acabar se dentro da burocracia corporativa.  

Ou seja, além de ser em si uma exigência da LGPD, o DPO é importante para o cumprimento de diversos outros pontos importantes, como direitos dos titulares e relatórios à ANPD. 

Também á papel do DPO ajudar na criação da cultura de proteção de dados da empresa, o que é essencial para que não se desvie das normas de proteção ode dados estabelecidas.  

Qual o seu papel dentro da empresa?  

Uma das poucas determinações que a LGPD traz mais detalhadamente sobre o DPO são suas obrigações. O artigo 41 diz que as funções do encarregado são as seguintes:  

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências 

O DPO será de extrema importância para garantir os direitos dos titulares de dados pessoais, ou seja, das pessoas cujos dados são tratados.  

Todas as requisições recebidas serão encaminhadas para ele, que deverá então dar o retorno adequado. Por exemplo, se o cliente pede que suas informações sejam excluídas da base de dados de envio de publicidade, esse pedido deverá ser encaminhado para o DPO, que então será o responsável por repassá-lo para que o setor responsável adote as providências necessárias. Depois, ele deverá averiguar se as medidas adotadas foram suficientes para atender ao pedido,  

• Receber comunicações da autoridade nacional e adotar providências 

Existem alguns relatórios que a ANPD poderá requerer das empresas que tratam dados, por exemplo os relatórios de impacto à proteção de dados pessoais. Esses pedidos deverão ser feitos para o DPO, que, se necessário, consultará os demais setores da empresa e enviará os documentos necessários de volta para a Autoridade.  

Em outro exemplo, será ele também quem tratará diretamente com a ANPD em caso de incidentes de vazamento de dados pessoais, adotando as medidas necessárias e comunicando os envolvidos.  

• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais 

O DPO deverá, ainda, ajudar a criar, dentro da empresa, uma cultura de proteção de dados pessoais, com o tratamento mais responsável e cuidadosa das informações. Para isso, deverá promover eventos, treinamentos, conscientizações, tirando dúvidas dos colaboradores e apoiando as diversas áreas da empresa para estarem sempre adequadas à LGPD.  

• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. 

A Autoridade Nacional de Proteção de Dados – ANPD ainda pode lançar nova diretrizes e determinações que alterem ou criem novas atribuições para o DPO, mas, até o momento, não temos nenhuma disposição a respeito do tema. 

Como a Autoridade ainda está em formação, será necessário aguardar e observar suas disposições.  

Sua contratação é necessária?  

A LGPD exige que toda empresa que trata dados tenha um DPO, seja interno ou externo, como “DPO as a service”.  

Espera-se que a ANPD coloque algumas limitações para essa exigência, assim como a GDPR na União Europeia. No entanto, atualmente, não há qualquer exceção para a exigência.  

Isso significa que a mera inexistência de um DPO na empresa já representaria uma infração perante a Lei Geral de Proteção de Dados. Por isso seria passível de levar à imposição de qualquer uma das penalidades da Lei, desde multas até exclusão dos dados pessoais.  

Mas, como vimos, a ausência de um DPO pode trazer consequências negativas também para o cumprimento de outras obrigações da empresa no tratamento de dados, especialmente no que diz respeito aos direitos de titulares e comunicação com a ANPD, levando a punições ainda mais severas.   

O que afeta a rotina da empresa? 

O DPO precisará de uma grande interação com o restante da empresa. Entre as suas obrigações, estão a conscientização de colaboradores e auditoria dos processos que tratam dados pessoais, que poderão afetar a rotina de diversos setores. 

Um processo de adequação à LGPD deve perpassar toda a empresa, alterando a maneira como todos os setores trabalham com dados pessoais. O DPO é parte muito importante desse processo, e da manutenção constante posterior.  

Outro motivo que pode levar o DPO a interferir nos demais setores da empresa é em caso de necessidade de alguma informação que deverá ser repassada para a ANPD ou para o titular dos dados pessoais. Pode ser também que alguma ação específica precise ser adotada por essas áreas para garantir o cumprimento de uma obrigação da empresa. Em ambos os casos, pode haver um pouco de urgência na solicitação, que precisará ser tratada como prioridade.  

Por isso todas essas razões, o DPO pode interferir no dia a dia normal de outras partes da empresa, mas sempre se atentando para o necessário.  

Sendo assim, não deixe de procurar consultoria especializada! O escritório Camargo & Vieira se diferencia ao realizar a adequação jurídica das empresas à LGPD, pois conta com profissionais certificados pela IAPP e utiliza um cronograma de adequação que segue as melhores práticas mundiais no ramo. 

Se você precisa de alguma ajuda com seu processo de adequação ou com a nomeação de um DPO, entre em contato conosco! 

O escritório oferece algumas soluções em LGPD: adequação total a LGPD, que consiste na realização de toda a adequação jurídica e procedimental de uma empresa aos enunciados da LGPD, e o DPO as a service. 

Gostou desse assunto ou acha ele relevante? Compartilhe nas redes sociais ou deixe seu comentário abaixo.