You are currently viewing O que faz um DPO?

O que faz um DPO?

Se existe uma função cujo interesse dos profissionais cresce a cada dia é a função do DPO (Data Protection Officer) ou Encarregado de Dados.

Antes falarmos sobre o que faz um DPO, convém tratarmos sobre qual o significado de DPO.

O termo DPO (Data Protection Officer) advém do GDPR (General Data Protection Regulation) ou Regulamento Europeu sobre Privacidade e Proteção de Dados e significa Oficial de Proteção de Dados.

Aqui no Brasil, o termo que a lei trouxe é Encarregado de Dados, mas nós, inconformados com esse nome gigante trazido pela nossa legislação, preferimos adotar o termo DPO (Data Protection Officer).

Assim, sempre que você estiver diante do termo DPO ou Encarregado de Dados, lembre-se que eles possuem o mesmo significado.

A função do DPO (Data Protection Officer) vem disposta no artigo Art. 5º, VIII da LGPD, como sendo a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Embora a grande maioria dos profissionais se interessem pelo cargo em razão do alto salário de DPO divulgado, eu sempre gosto de lembrar que o “alto salário” é compatível com a “alta carga de responsabilidade” que esta função exige.

Via de regra, toda a empresa que realiza suas atividades por meio de operações envolvendo o tratamento de dados pessoais deverá indicar um DPO (Data Protection Officer) ou Encarregado de Dados.

Assim dispõe a LGPD em seu Art. 41:

“O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

Há, contudo, uma possibilidade da dispensa da indicação desse profissional, de acordo com o § 3º do mesmo artigo:

“A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.

A esse respeito, já existe um movimento da ANPD no sentido de dispensar a obrigatoriedade da nomeação do Encarregado de dados às micro e pequenas empresas, startups e empresas de pequeno porte.

Entretanto, enquanto a ANPD (Autoridade Nacional de Proteção de Dados não emitir um parecer definitivo sobre o tema em questão, a regra é: toda a empresa é obrigada a nomear um encarregado de dados ou DPO (Data Protection Officer), seja ele interno ou externo.

Além da indicação formal deste profissional, a empresa tem o compromisso de disponibilizar a identidade e as informações de contato do encarregado publicamente, de forma clara e objetiva, preferencialmente em seu site, a teor do disposto no § 1º do artigo acima referido.

E você sabe qual é o papel do DPO? Quais são as atividades que ele deve desenvolver?

O § 2º do art. 41 nos apresenta algumas das atividades a serem desenvolvidas pelo encarregado de dados.

“As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares”.

Mas se você acha que esses quatro incisos resumem a atividade do DPOD, eu posso te garantir que não.

Embora a LGPD trate de maneira abreviada as funções do DPO, na prática esses incisos se desdobram em diversas outras atividades com uma alta carga de responsabilidade e dedicação por parte desse profissional, como por exemplo:

– a condução inicial do Plano de Adequação à LGPD e posterior implementação do Programa de Governança em Privacidade e Proteção de Dados, com verificação de todos os documentos que deverão ser alterados e/ou elaborados pelo Comitê Multidisciplinar;

– o atendimento a todas as requisições dos titulares;

– a fiscalização relacionada ao cumprimento do cronograma de atividades contido no Plano de Ação – etapa final do Plano de Adequação;

– a orientação relacionada à criação, implementação e manutenção da cultura de privacidade e proteção de dados dentro da empresa – técnicas de conscientização;

– a verificação dos atuais processos da empresa em relação à conformidade.

Além disso, eu sempre gosto de reforçar também que este profissional deve ser um comunicador nato e ter fino trato nas relações interpessoais, uma vez que ele será o elo de comunicação desde o início das atividades, envolvendo o engajamento de todos os colaboradores da empresa, até a interface entre os titulares de dados e a empresa e entre esta e a ANPD (Autoridade Nacional de Proteção de Dados.

E agora me conta, você está pronto para assumir essa função?

Caso não esteja, eu te convido a começar agora o seu Programa de Adequação à LGPD:

https://www.implementandoalgpd.com.br/proximas-turmas/

Você pode gostar desse artigo também:

https://www.implementandoalgpd.com.br/blog/voce-quer-ser-um-dpo-saiba-tudo-o-que-e-preciso-para-ter-sucesso-nessa-promissora-carreira/

Deixe um comentário