Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) – e com a indicação dos cinco diretores da Autoridade Nacional de Proteção de Dados (ANPD) no último dia 15 de outubro – um dos pontos mais importantes e que deve ser priorizado no processo de adequação é a nomeação de um Encarregado de Dados Pessoais (Data Protection Officer – DPO). No entanto, o que faz um DPO?
De acordo com a lei, o DPO ou encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD)”. Em outras palavras, é a ponte entre a empresa, a ANPD e o titular, tendo como principais atribuições receber as demandas dos titulares e orientar a aplicação da LGPD.
Em resumo, são atividades que devem ser realizadas pelo DPO:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar as providências cabíveis;
- receber comunicações da ANPD e adotar as providências cabíveis;
- orientar os funcionários e os contratados da empresa sobre práticas de proteção de dados pessoais;
- executar demais atribuições determinadas pelo controlador ou que constem de normas complementares que venham a ser editadas pela ANPD.
Considerando o objetivo de criar uma cultura de proteção de dados na empresa, o DPO também tem papel relevante de orientação, revisão de políticas internas de segurança e plano de gestão de riscos, bem como de realização de workshops e treinamentos internos.
Embora detalhes sobre o cargo ainda precisem ser delineados pela ANPD, incluindo hipóteses de dispensa da necessidade de indicação do DPO, a LGPD estabelece parâmetros a serem seguidos, destacando-se o princípio de accountability, responsabilização e prestação de contas.
Quem pode ser DPO
Segundo a LGPD, o DPO pode ser tanto pessoa física quanto pessoa jurídica. As empresas, portanto, podem escolher um colaborador interno ou contratar profissional qualificado para exercer o cargo, ou, ainda, contratar um DPO externo (indivíduo ou pessoa jurídica).
Caso o DPO já faça parte da estrutura da empresa, não há vedação de quem poderá assumir o cargo – é possível a nomeação desde funcionário do administrativo até de membro da diretoria. Não há nada que determine a necessidade de que seja alguém da área de tecnologia. Na tarefa de escolha, deve ser levado em conta a maior facilidade de acesso pelos titulares e a ANPD, a possibilidade de articulação com as áreas da empresa envolvidas nos fluxos de tratamentos de dados pessoais e a autonomia para cumprimento das atribuições previstas na LGPD.
Por outro lado, o DPO externo – ou DPO as a Service (DPOaaS) – trata-se de uma opção interessante já consolidada em outros países, combinando qualidade técnica e flexibilidade na condução das atividades, além de permitir a atuação sem eventuais interferências dentro da hierarquia da empresa.
Independentemente do caso, é importante lembrar que o DPO deve ter capacitação adequada para atendimento das atribuições estabelecidas pela lei. E, tendo por inspiração da GDPR, caberá a ele atuar de forma independente e com o cuidado de prevenir a ocorrência de conflitos de interesse entre suas atribuições e outras funções por ele exercidas.
Caso sua empresa precise de orientação para nomeação de DPO, de consultoria especializada para auxiliá-lo no desempenho de suas funções ou de um DPO as a Service, o Assis e Mendes conta com equipe especializada em Privacidade e Proteção de Dados e DPOs certificados, com atuação no Brasil e na Europa. O contato poderá ser feito pelo site www.assisemendes.com.br ou pelo email lgpd2020@assisemendes.com.br.
Letícia Crivelin.