You are currently viewing Você quer ser um DPO? Saiba tudo o que é preciso para ter sucesso nessa promissora carreira!

Você quer ser um DPO? Saiba tudo o que é preciso para ter sucesso nessa promissora carreira!

Se você quer ser um DPO ou Encarregado de Dados e se destacar no mercado de Proteção de Dados, leia todo esse artigo e saiba tudo sobre essa promissora carreira! Entenda tudo o que você precisa saber para se tornar um!

QUEM É O DPO (DATA PROTECTION OFFICER) OU ENCARREGADO DE DADOS?

Se tem um assunto que gera muito interesse entre os profissionais que querem atuar com Privacidade e Proteção de Dados é cargo do DPO ou Encarregado de Dados como a LGPD nos trouxe.

O seu conceito está previsto no Art. 5º, VIII da LGPD: “encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

Aqui no Brasil a LGPD denomina esse ator como Encarregado de Dados, mas nós, inconformados com esse nome gigante que a legislação trouxe, preferimos adotar o termo DPO (Data Protection Officer) advindo do GDPR (General Data Protection Regulation) ou Regulamento Europeu sobre Privacidade e Proteção de Dados.

A lei trouxe o Encarregado de Dados como figura responsável por ser o elo de comunicação entre a empresa e a ANPD (Autoridade Nacional  de Proteção de Dados) e entre estas e o titular de dados.

A ele também cabe a obrigação de conduzir/monitorar o Plano de Conformidade à LGPD dentro da empresa.

Além destas responsabilidades que referimos acima, incumbe a ele outras bem específicas que veremos a seguir.

QUAIS AS OBRIGAÇÕES DO ENCARREGADO DE DADOS OU DPO (DATA PROTECTION OFFICER)?

A maioria das pessoas quando imagina a função do DPO, pode pensar que suas tarefas são simples, mas esta não é a realidade dentro do contexto da LGPD.

Ao Encarregado de Dados ou DPO (Data Protection Officer) são atribuídas diversas obrigações que o fazem ser um dos principais atores da lei, uma vez que é responsável pela de diversas tarefas que podem ser determinantes para que a empresa esteja em conformidade ou não.

Dentre as incumbências do DPO, podemos destacar:

– a condução inicial do Plano de Adequação à LGPD e posterior implementação do Programa de Governança em Privacidade e Proteção de Dados, com verificação de todos os documentos que deverão ser alterados e/ou elaborados pelo departamento jurídico;

– o atendimento das requisições dos titulares;

– a fiscalização relacionada ao cumprimento do cronograma  de atividades contido no Plano de Ação;

– a orientação relacionada à criação, implementação e manutenção da cultura de privacidade e proteção de dados dentro da empresa;

– a verificação dos atuais processos da empresa em relação à conformidade;

O art. 41 também traz um rol das atividades que deverão ser executadas pelo DPO:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

SERÁ QUE SUA  EMPRESA PRECISA NOMEAR DPO?

De acordo com o Art. 41 da LGPD, “o controlador deverá indicar encarregado pelo tratamento de dados pessoais”.

Então, sim, sua empresa precisará nomear um Encarregado de Dados.

A lei não nos trouxe, por exemplo, uma exigência quanto à contratação deste profissional e, por essa razão, ele pode ser tanto interno (funcionário da empresa), como externo (profissional autônomo ou empresa).

A primeira redação da LGPD trazia uma disposição no sentido de que o DPO precisava ter formação jurídica, texto que acabou sendo vetado pelo Presidente, uma vez que fazia uma reserva de mercado, que não se mostrava proporcional, tendo em vista a existência de diversos outros profissionais aptos  e com expertise técnica para o exercício dessa função.

Pelo que sabemos, a ANPD ainda trará disposições mais específicas acerca da necessidade da nomeação do DPO, a depender do porte da empresa, tendo em vista que muitas empresas de pequeno porte não terão recursos disponíveis para a contratação deste profissional.

O QUE É PRECISO PARA VOCÊ SE TORNAR UM DPO? PRECISA DE ALGUMA CERTIFICAÇÃO?

A primeira redação da lei previa formação jurídica para o cargo, mas essa ideia não tem mais validade, por isso, qualquer profissional que tenha conhecimento nesta área de privacidade e proteção de dados poderá atuar como DPO.

A LGPD não trouxe nenhum requisito específico como condição para a função, entretanto, pela experiência, é fundamental que o DPO tenha as seguintes habilidades, incluindo mas não se restringindo a:

– conhecimento profundo da Lei Geral de Proteção de Dados;

– entendimento acerca das demais leis de proteção de dados a nível mundial;

– conhecimento acerca da estrutura da empresa onde atuará;

– é primordial que tenha habilidade de comunicação, já que será o elo de comunicação entre a ANPD e os titulares de dados e entre estes e o controlador.

– conhecimento relacionado à gestão e liderança;

– compreensão sobre TI e Segurança da Informação

Ser um DPO requer estas e outras habilidades, tendo em vista a ampla lista de funções que ele exercerá.

Sua função de bom comunicador vai além de ser a interface entre os titulares e a ANPD, o DPO precisa ter boa comunicação também no sentido de saber conduzir os profissionais da empresa que estão envolvidos na conformidade e, para isso, precisa utilizar uma linguagem acessível e fácil compreensão, pois será uma espécie de líder neste processo e precisa estar conectado e conectar as diferentes áreas da empresa.

Por fim, se o DPO não precisa de uma formação específica,  será que ele precisa de um certificação?

A resposta é não!

É sempre muito positivo buscar conhecimento, aprender todos os dias, mas ter uma certificação não é uma exigência da LGPD para o exercício da função de DPO. 

Caso o profissional esteja buscando um oportunidade no mercado, ter uma certificação pode ser um diferencial, mas lembre-se, o que vai fazer um DPO se destacar será, de fato, o trabalho que ele vai desenvolver na prática.

DPO INTERNO OU EXTERNO? QUAL A MELHOR OPÇÃO PARA A SUA EMPRESA?

Como sabemos a LGPD não dispôs sobre a forma de contratação do DPO, se poderia/deveria ser um funcionário do quadro da empresa ou um profissional externo.

E pela experiência, surgiram dois tipos de  profissionais: DPO INTERNO (funcionário da empresa) e DPO AS A SERVICE/DPO EXTERNO (profissional autônomo ou empresa).

Um DPO INTERNO é aquele profissional que pertence ao quadro de colaboradores da empresa. É este profissional que conduzirá o plano de conformidade à LGPD dentro da empresa e realizará todas aquelas funções que referimos anteriormente.

Já o DPO AS A SERVICE/DPO EXTERNO é aquele que atuará como uma espécie de consultor. Geralmente irá na empresa em situações pontuais e, por essa razão, o custo da empresa será menor com este profissional.

É muito comum que a empresa pactue com este DPO um contrato de prestação de serviço com a previsão das horas mensais a serem trabalhados. Há, contudo, alguns casos, em que é fixado um valor fixo para o exercício da função.

Esta opção geralmente é utilizada pelas empresas menores, onde não há grande volume de operações envolvendo tratamento de dados pessoais.

E aqui um observação IMPORTANTE: Quando uma empresa for muito grande em volume de operações envolvendo tratamento de dados pessoais, não é aconselhável um DPO externo, pois muito provavelmente este profissional não terá controle sobre todas as atividades e processos que a empresa realiza.

Sabemos, evidentemente, que a lei fala na autonomia e na independência do DPO e, ele sendo interno, talvez, essa autonomia  e independência fiquem um pouco prejudicadas em razão da subordinação, contudo, o fato deste profissional viver o cotidiano da empresa e conhecer a fundo os seus processos é muito positivo para alcançar a conformidade.

A lei não nos traz de forma clara qualquer restrição ao acúmulo de função e pela experiência que temos, muitas empresas estão nomeando profissionais que já fazem parte do seu quadro de colaboradores para serem seus DPO’s e isso é super natural que ocorra.

Por isso, sempre gosto de bater nesta tecla: LGPD na teoria é uma coisa, na prática é outra muito diferente.

Se vocês me perguntarem o que eu indicaria hoje?

Indicaria a nomeação de um DPO interno que já seja colaborador da empresa e que conheça e entenda todos os processos da empresa, uma vez que não há previsão expressa na LGPD vedando essa prática e que atenderia às adequações da maioria das empresas, já que o Brasil possui muitas micro, pequenas e médias empresas.

Entretanto, sobre esse ponto, teremos que aguardar o posicionamento da Autoridade Nacional de Proteção de Dados.

O § 3º do art. 41 prevê: “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.

Desse modo, o que percebemos é que algumas disposições relacionadas ao DPO poderão sofrer alterações e, por isso, reitero que essa indicação é uma posição pessoal e, caso a autoridade disponha de forma diferente, teremos de nos adequar à regra por ela estabelecida.

Quer se tornar um DPO? Abaixo está o primeiro passo que você precisa:

https://www.implementandoalgpd.com.br/modulo-i-conhecendo-e-entendendo-a-lgpd/

E depois de dominar a lei, você precisa provar que sabe o que fazer na prática:

https://www.implementandoalgpd.com.br/curso-lgpd-modulo-ii-plano-de-adequacao-a-lgpd/

Dúvidas? Envie para nós!

Deixe um comentário