DPO: quais as responsabilidades do encarregado segundo a LGPD?
Desde que a LGPD entrou em vigor, grande parte das empresas no Brasil passou a precisar de um DPO. As responsabilidades do DPO na empresa são diversas, incluindo a manutenção de um ambiente de zelo pelos dados pessoais.
Neste artigo, serão apresentadas as principais questões relacionadas às responsabilidades do encarregado. Quem é esse profissional? Quais suas atribuições dentro da organização? Como deve atuar? Qual o limite das suas responsabilidades? Continue lendo e confira a seguir!
Quem é o encarregado na Lei Geral de Proteção de Dados?
O encarregado de proteção de dados pessoais consiste em um cargo novo no Brasil, expressamente previsto pela LGPD. Segundo a lei, toda empresa que tratar dados pessoais deve, obrigatoriamente, nomear um encarregado para estar adequada.
Cabe relembrar que as atividades de tratamento de dados pessoais dizem respeito não só a clientes, mas também a colaboradores. Isso significa, por exemplo, que sempre que a organização contar com colaboradores, sejam eles pessoa física ou jurídica, provavelmente será necessário um encarregado. Na prática, portanto, é possível afirmar que a maioria das empresas precisa de alguém para preencher esse cargo.
A sigla “DPO”, usada como sinônimo do termo encarregado de proteção de dados, significa “data protection officer”. Trata-se do termo relativo ao mesmo cargo, no contexto do Regulamento Geral de Proteção de Dados da União Europeia (GDPR). Por se tratar de cargos semelhantes, adotou-se a sigla europeia, conhecida desde antes da LGPD, para referenciar o encarregado brasileiro.
O que o DPO faz e qual o seu papel na empresa?
Antes de mais nada, é importante pontuar que o encarregado deve ser alguém que detenha profundos conhecimentos sobre proteção de dados. Isto porque a função do DPO, em termos gerais, é justamente cultivar um ambiente de preocupação quanto a dados pessoais na empresa.
Isso significa, por exemplo, que o DPO deve promover a conscientização de toda a equipe sobre os enunciados da LGPD. Trata-se de uma tarefa importante que pode ser realizada de diversas formas. Dentre elas, algumas das mais comuns são a realização de treinamentos e simulações de eventos adversos. Recomenda-se até mesmo a criação de conteúdo didático simples, que pode ser compartilhado em canais de comunicação da empresa.
Além de servir como defensor da cultura de proteção de dados na empresa, o encarregado detém outras atribuições. Em termos mais práticos, esse profissional também tem o dever de remediar e reportar incidentes de proteção de dados identificados dentro da organização. Dessa forma, a atuação do DPO deve ocorrer de forma a também evitar que novos incidentes semelhantes ocorram no futuro.
Finalmente, o encarregado também atua como “ponte” entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD). Em igual medida, também realiza a ponte entre a empresa e os próprios titulares de dados pessoais. Em outras palavras, o DPO é o responsável por receber comunicados e requerimentos de terceiros, bem como responder a estes.
Quais as responsabilidades do DPO na empresa segundo a LGPD
As responsabilidades do DPO estão fortemente ligadas a aconselhar a organização de maneira sincera e tecnicamente embasada. Isso significa, em resumo, que o dever do encarregado não é evitar que absolutamente qualquer incidente ocorra, mas sim garantir que realizará suas atribuições com afinco e cautela.
É o que se costuma chamar de uma obrigação “de meio”, e não “de resultado”. O encarregado disponibiliza os meios para aconselhar a empresa, mas não pode ser responsabilizado em caso de incidentes que ocorrerem.
Ainda no que diz respeito à responsabilização do encarregado, é importante mencionar uma garantia essencial para a atuação desse profissional. Trata-se da autonomia para exercer devidamente o cargo dentro da empresa e, assim, emitir suas considerações da melhor forma possível.
Os serviços do DPO trazem consigo diversas responsabilidades, como a gestão geral de todo o ambiente de proteção de dados pessoais em uma organização. Por esse motivo, é comum que o encarregado precise advertir até mesmo a Diretoria das empresas quanto às suas práticas de tratamento de dados pessoais.
Isso porque ocasionalmente pode haver um certo descompasso entre os objetivos comerciais da organização e as melhores práticas de proteção de dados. Nesse sentido, é importante lembrar que a função do DPO é aconselhar a empresa para garantir maior segurança em suas práticas envolvendo dados pessoais.
Assim, é importante que a figura do DPO seja reconhecida como necessária dentro da empresa. O encarregado, dessa forma, não pode sofrer repercussões negativas pelo mero exercício regular de suas funções dentro de uma organização e deve ter autonomia e isenção para exercer suas atividades.
O DPO pode ser punido em caso de irregularidades? Como?
Como já apontamos, o encarregado desempenha obrigações de meio, não se responsabilizando pelos resultados de sua atuação. Essa máxima, contudo, não é absoluta: há exceções para essa isenção de responsabilidade do DPO.
Isso porque a autonomia do encarregado para desempenhar suas funções na organização não pode ser confundida com uma impunidade do profissional. Especificamente, em situações em que o DPO desempenhar a profissão de forma insatisfatória, é possível que ele seja devidamente punido.
São, por exemplo, os casos em que o encarregado atua de maneira imprudente, desatenta ou com descaso. Igualmente, pode ser o caso de quanto o profissional não busca se manter atualizado quanto às melhores práticas do setor.
Outro exemplo claro de situação em que o DPO pode ser punido por suas ações é quando há uma má fé em sua atuação. Ou seja: na eventualidade de o profissional estar mal-intencionado em suas atividades, configura-se a possibilidade de puni-lo.
Caso uma situação dessas aconteça, a responsabilização do encarregado ocorrerá majoritariamente no âmbito do Judiciário cível. Contudo, isso não impede a incidência de repercussões penais, trabalhistas, entre outras, conforme cabível com base nas ações do DPO.
Nomeie um DPO competente
Fato é que, apesar de ser possível punir o encarregado por má gestão, a empresa ainda sofrerá as repercussões do erro. Por isso, a solução ideal é nomear um encarregado verdadeiramente preparado para assumir o papel.
Em regra, recomenda-se que a pessoa indicada para o cargo detenha bom conhecimento sobre proteção de dados e segurança da informação. Por esse motivo, um integrante do setor jurídico ou de TI costumam ser recomendações usuais. Contudo, pessoas de qualquer formação podem ser encarregadas: desde que haja comprometimento e não sejam identificados conflitos de interesse entre funções desempenhadas.
Para garantir o aconselhamento mais imparcial possível, ainda, é possível contratar os serviços de DPOs terceirizados. Além disso, cabe apontar que o encarregado pode ser tanto uma pessoa física quanto uma pessoa jurídica.
Pensando nessa demanda por DPOs verdadeiramente isentos e qualificados, o C&V oferece serviços de DPO as a Service. Contando com uma equipe especializada de proteção de dados pessoais, o escritório consegue garantir o aconselhamento eficaz de seus clientes. Dessa forma, é possível evitar riscos relativos às atividades de tratamento de dados pessoais desempenhadas pelas organizações.
Um DPO capacitado, seja ele terceirizado ou mesmo um colaborador interno, conseguirá melhor administrar o ambiente da empresa. Isso, por sua vez, resulta em melhores chances de que os demais colaboradores da organização recebam o treinamento adequado sobre privacidade. Além disso, também melhora as chances de que práticas de tratamento de dados irregulares sejam identificadas e adequadas.
Por todos os motivos expostos, as responsabilidades do DPO na empresa representam uma matéria que merece tanta atenção. E você: já nomeou um encarregado de proteção de dados para atuar na sua organização?
CONTRATE UM DPO!