O QUE FAZ E COMO ESCOLHER UM DPO?

Com a entra­da em vig­or da Lei Ger­al de Pro­teção de Dados (LGPD) — e com a indi­cação dos cin­co dire­tores da Autori­dade Nacional de Pro­teção de Dados (ANPD) no últi­mo dia 15 de out­ubro — um dos pon­tos mais impor­tantes e que deve ser pri­or­iza­do no proces­so de ade­quação é a nomeação de um Encar­rega­do de Dados Pes­soais (Data Pro­tec­tion Offi­cer - DPO). No entan­to, o que faz um DPO?

De acor­do com a lei, o DPO ou encar­rega­do é a “pes­soa indi­ca­da pelo con­tro­lador e oper­ador para atu­ar como canal de comu­ni­cação entre o con­tro­lador, os tit­u­lares de dados pes­soais e a Autori­dade Nacional de Pro­teção de Dados (ANPD)”. Em out­ras palavras, é a ponte entre a empre­sa, a ANPD e o tit­u­lar, ten­do como prin­ci­pais atribuições rece­ber as deman­das dos tit­u­lares e ori­en­tar a apli­cação da LGPD.

Em resumo, são ativi­dades que devem ser real­izadas pelo DPO:

• aceitar recla­mações e comu­ni­cações dos tit­u­lares, prestar esclarec­i­men­tos e ado­tar as providên­cias cabíveis;
• rece­ber comu­ni­cações da ANPD e ado­tar as providên­cias cabíveis;
• ori­en­tar os fun­cionários e os con­trata­dos da empre­sa sobre práti­cas de pro­teção de dados pessoais;
• exe­cu­tar demais atribuições deter­mi­nadas pelo con­tro­lador ou que con­stem de nor­mas com­ple­mentares que ven­ham a ser edi­tadas pela ANPD.

Con­sideran­do o obje­ti­vo de cri­ar uma cul­tura de pro­teção de dados na empre­sa, o DPO tam­bém tem papel rel­e­vante de ori­en­tação, revisão de políti­cas inter­nas de segu­rança e plano de gestão de riscos, bem como de real­iza­ção de work­shops e treina­men­tos internos.

Emb­o­ra detal­h­es sobre o car­go ain­da pre­cisem ser delin­ea­d­os pela ANPD, incluin­do hipóte­ses de dis­pen­sa da neces­si­dade de indi­cação do DPO, a LGPD esta­b­elece parâmet­ros a serem segui­dos, desta­can­do-se o princí­pio de account­abil­i­ty, respon­s­abi­liza­ção e prestação de contas.

Quem pode ser DPO

Segun­do a LGPD, o DPO pode ser tan­to pes­soa físi­ca quan­to pes­soa jurídi­ca. As empre­sas, por­tan­to, podem escol­her um colab­o­rador inter­no ou con­tratar profis­sion­al qual­i­fi­ca­do para exercer o car­go, ou, ain­da, con­tratar um DPO exter­no (indi­ví­duo ou pes­soa jurídica).

Caso o DPO já faça parte da estru­tu­ra da empre­sa, não há vedação de quem poderá assumir o car­go — é pos­sív­el a nomeação des­de fun­cionário do admin­is­tra­ti­vo até de mem­bro da dire­to­ria. Não há nada que deter­mine a neces­si­dade de que seja alguém da área de tec­nolo­gia. Na tare­fa de escol­ha, deve ser lev­a­do em con­ta a maior facil­i­dade de aces­so pelos tit­u­lares e a ANPD, a pos­si­bil­i­dade de artic­u­lação com as áreas da empre­sa envolvi­das nos flux­os de trata­men­tos de dados pes­soais e a autono­mia para cumpri­men­to das atribuições pre­vis­tas na LGPD.

Por out­ro lado, o DPO exter­no — ou DPO as a Ser­vice (DPOaaS) — tra­ta-se de uma opção inter­es­sante já con­sol­i­da­da em out­ros país­es, com­bi­nan­do qual­i­dade téc­ni­ca e flex­i­bil­i­dade na con­dução das ativi­dades, além de per­mi­tir a atu­ação sem even­tu­ais inter­fer­ên­cias den­tro da hier­ar­quia da empresa.

Inde­pen­den­te­mente do caso, é impor­tante lem­brar que o DPO deve ter capac­i­tação ade­qua­da para atendi­men­to das atribuições esta­b­ele­ci­das pela lei. E, ten­do por inspi­ração da GDPR, caberá a ele atu­ar de for­ma inde­pen­dente e com o cuida­do de pre­venir a ocor­rên­cia de con­fli­tos de inter­esse entre suas atribuições e out­ras funções por ele exercidas.

Caso sua empre­sa pre­cise de ori­en­tação para nomeação de DPO, de con­sul­to­ria espe­cial­iza­da para aux­il­iá-lo no desem­pen­ho de suas funções ou de um DPO as a Ser­vice, o Assis e Mendes con­ta com equipe espe­cial­iza­da em Pri­vaci­dade e Pro­teção de Dados e DPOs cer­ti­fi­ca­dos, com atu­ação no Brasil e na Europa. O con­ta­to poderá ser feito pelo site www.assisemendes.com.br ou pelo email lgpd2020@assisemendes.com.br.

Letí­cia Crivelin.