Com as novas leis de proteção de dados, novas instituições, mercados e até atribuições profissionais estão surgindo. E um dos principais é o Data Protection Officer (DPO) ou encarregado de proteção de dados.
Dependendo da forma e dos objetivos para os quais uma empresa recolhe dados dos seus usuários ela precisa ser monitorada por um DPO. A seguir, vamos entender melhor o papel desse profissional e descobrir se o seu negócio precisa contratá-lo.
Quem é o DPO?
A figura do DPO ganhou maior notoriedade a partir da publicação do Regulamento Geral de Dados da União Europeia (GDPR) no ano passado. De forma geral, esse profissional é um especialista em proteção de dados e monitora empresas para garantir que elas estejam em compliance com as regras e boas práticas do setor. Ele também deve intermediar os interesses da empresa (controlador) e do titular dos dados.
Com a criação da Lei Geral de Proteção de Dados brasileira (LGPD), que se inspirou bastante no GDPR, o DPO recebeu o nome de encarregado e ganhou a seguinte definição, registrada no artigo 5º da lei: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
As funções do DPO de acordo com o GDPR
De acordo com artigo 37 do GDPR a figura do DPO é necessária sempre que o tratamento for feito por órgãos ou autoridades públicas (com exceção de tribunais), a empresa lide com dados especiais e sensíveis (como informações sobre etnia, religião e condenações penais) ou faça um monitoramento em larga escala.
O artigo 39 define que estão entre as tarefas do DPO:
- Informar e aconselhar o responsável pelo tratamento e os demais profissionais sobre suas obrigações nos termos do GDPR;
- Controlar a conformidade com o GDPR e com as políticas do responsável pelo tratamento, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal envolvido no tratamento;
- Prestar aconselhamento, se tal for solicitado, no que se refere à avaliação do impacto da proteção de dados, e acompanhar o seu desempenho;
- Cooperar com as autoridades;
- Servir de ponte para a autoridade de supervisão em questões relacionadas com o tratamento.
As tarefas do DPO segundo a LGPD
O texto da LGPD também designa algumas atribuições para o encarregado. O artigo 41, parágrafo 2º lista essas atividades:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O parágrafo 3º ainda afirma que “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”. Ou seja, essas tarefas podem ser adaptadas ou excluídas de acordo com orientação da ANPD.
Observando os dois “job descriptions” é possível perceber que as tarefas são bem parecidas e se resumem em monitorar, fiscalizar, orientar e fazer a ponte entre os titulares e as empresas.
Mas contratar (ou não) um DPO é só um dos vários processos para se adequar às novas regras de proteção de dados. Se você precisa de apoio nessa transição, entre em contato com os advogados especializados em Direito Digital e Empresarial da Assis e Mendes.