Se você quer ser um DPO ou Encarregado de Dados e se destacar no mercado de Proteção de Dados, leia todo esse artigo e saiba tudo sobre essa promissora carreira! Entenda tudo o que você precisa saber para se tornar um!
QUEM É O DPO (DATA PROTECTION OFFICER) OU ENCARREGADO DE DADOS?
Se tem um assunto que gera muito interesse entre os profissionais que querem atuar com Privacidade e Proteção de Dados é cargo do DPO ou Encarregado de Dados como a LGPD nos trouxe.
O seu conceito está previsto no Art. 5º, VIII da LGPD: “encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Aqui no Brasil a LGPD denomina esse ator como Encarregado de Dados, mas nós, inconformados com esse nome gigante que a legislação trouxe, preferimos adotar o termo DPO (Data Protection Officer) advindo do GDPR (General Data Protection Regulation) ou Regulamento Europeu sobre Privacidade e Proteção de Dados.
A lei trouxe o Encarregado de Dados como figura responsável por ser o elo de comunicação entre a empresa e a ANPD (Autoridade Nacional de Proteção de Dados) e entre estas e o titular de dados.
A ele também cabe a obrigação de conduzir/monitorar o Plano de Conformidade à LGPD dentro da empresa.
Além destas responsabilidades que referimos acima, incumbe a ele outras bem específicas que veremos a seguir.
QUAIS AS OBRIGAÇÕES DO ENCARREGADO DE DADOS OU DPO (DATA PROTECTION OFFICER)?
A maioria das pessoas quando imagina a função do DPO, pode pensar que suas tarefas são simples, mas esta não é a realidade dentro do contexto da LGPD.
Ao Encarregado de Dados ou DPO (Data Protection Officer) são atribuídas diversas obrigações que o fazem ser um dos principais atores da lei, uma vez que é responsável pela de diversas tarefas que podem ser determinantes para que a empresa esteja em conformidade ou não.
Dentre as incumbências do DPO, podemos destacar:
– a condução inicial do Plano de Adequação à LGPD e posterior implementação do Programa de Governança em Privacidade e Proteção de Dados, com verificação de todos os documentos que deverão ser alterados e/ou elaborados pelo departamento jurídico;
– o atendimento das requisições dos titulares;
– a fiscalização relacionada ao cumprimento do cronograma de atividades contido no Plano de Ação;
– a orientação relacionada à criação, implementação e manutenção da cultura de privacidade e proteção de dados dentro da empresa;
– a verificação dos atuais processos da empresa em relação à conformidade;
O art. 41 também traz um rol das atividades que deverão ser executadas pelo DPO:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
SERÁ QUE SUA EMPRESA PRECISA NOMEAR DPO?
De acordo com o Art. 41 da LGPD, “o controlador deverá indicar encarregado pelo tratamento de dados pessoais”.
Então, sim, sua empresa precisará nomear um Encarregado de Dados.
A lei não nos trouxe, por exemplo, uma exigência quanto à contratação deste profissional e, por essa razão, ele pode ser tanto interno (funcionário da empresa), como externo (profissional autônomo ou empresa).
A primeira redação da LGPD trazia uma disposição no sentido de que o DPO precisava ter formação jurídica, texto que acabou sendo vetado pelo Presidente, uma vez que fazia uma reserva de mercado, que não se mostrava proporcional, tendo em vista a existência de diversos outros profissionais aptos e com expertise técnica para o exercício dessa função.
Pelo que sabemos, a ANPD ainda trará disposições mais específicas acerca da necessidade da nomeação do DPO, a depender do porte da empresa, tendo em vista que muitas empresas de pequeno porte não terão recursos disponíveis para a contratação deste profissional.
O QUE É PRECISO PARA VOCÊ SE TORNAR UM DPO? PRECISA DE ALGUMA CERTIFICAÇÃO?
A primeira redação da lei previa formação jurídica para o cargo, mas essa ideia não tem mais validade, por isso, qualquer profissional que tenha conhecimento nesta área de privacidade e proteção de dados poderá atuar como DPO.
A LGPD não trouxe nenhum requisito específico como condição para a função, entretanto, pela experiência, é fundamental que o DPO tenha as seguintes habilidades, incluindo mas não se restringindo a:
– conhecimento profundo da Lei Geral de Proteção de Dados;
– entendimento acerca das demais leis de proteção de dados a nível mundial;
– conhecimento acerca da estrutura da empresa onde atuará;
– é primordial que tenha habilidade de comunicação, já que será o elo de comunicação entre a ANPD e os titulares de dados e entre estes e o controlador.
– conhecimento relacionado à gestão e liderança;
– compreensão sobre TI e Segurança da Informação
Ser um DPO requer estas e outras habilidades, tendo em vista a ampla lista de funções que ele exercerá.
Sua função de bom comunicador vai além de ser a interface entre os titulares e a ANPD, o DPO precisa ter boa comunicação também no sentido de saber conduzir os profissionais da empresa que estão envolvidos na conformidade e, para isso, precisa utilizar uma linguagem acessível e fácil compreensão, pois será uma espécie de líder neste processo e precisa estar conectado e conectar as diferentes áreas da empresa.
Por fim, se o DPO não precisa de uma formação específica, será que ele precisa de um certificação?
A resposta é não!
É sempre muito positivo buscar conhecimento, aprender todos os dias, mas ter uma certificação não é uma exigência da LGPD para o exercício da função de DPO.
Caso o profissional esteja buscando um oportunidade no mercado, ter uma certificação pode ser um diferencial, mas lembre-se, o que vai fazer um DPO se destacar será, de fato, o trabalho que ele vai desenvolver na prática.
DPO INTERNO OU EXTERNO? QUAL A MELHOR OPÇÃO PARA A SUA EMPRESA?
Como sabemos a LGPD não dispôs sobre a forma de contratação do DPO, se poderia/deveria ser um funcionário do quadro da empresa ou um profissional externo.
E pela experiência, surgiram dois tipos de profissionais: DPO INTERNO (funcionário da empresa) e DPO AS A SERVICE/DPO EXTERNO (profissional autônomo ou empresa).
Um DPO INTERNO é aquele profissional que pertence ao quadro de colaboradores da empresa. É este profissional que conduzirá o plano de conformidade à LGPD dentro da empresa e realizará todas aquelas funções que referimos anteriormente.
Já o DPO AS A SERVICE/DPO EXTERNO é aquele que atuará como uma espécie de consultor. Geralmente irá na empresa em situações pontuais e, por essa razão, o custo da empresa será menor com este profissional.
É muito comum que a empresa pactue com este DPO um contrato de prestação de serviço com a previsão das horas mensais a serem trabalhados. Há, contudo, alguns casos, em que é fixado um valor fixo para o exercício da função.
Esta opção geralmente é utilizada pelas empresas menores, onde não há grande volume de operações envolvendo tratamento de dados pessoais.
E aqui um observação IMPORTANTE: Quando uma empresa for muito grande em volume de operações envolvendo tratamento de dados pessoais, não é aconselhável um DPO externo, pois muito provavelmente este profissional não terá controle sobre todas as atividades e processos que a empresa realiza.
Sabemos, evidentemente, que a lei fala na autonomia e na independência do DPO e, ele sendo interno, talvez, essa autonomia e independência fiquem um pouco prejudicadas em razão da subordinação, contudo, o fato deste profissional viver o cotidiano da empresa e conhecer a fundo os seus processos é muito positivo para alcançar a conformidade.
A lei não nos traz de forma clara qualquer restrição ao acúmulo de função e pela experiência que temos, muitas empresas estão nomeando profissionais que já fazem parte do seu quadro de colaboradores para serem seus DPO’s e isso é super natural que ocorra.
Por isso, sempre gosto de bater nesta tecla: LGPD na teoria é uma coisa, na prática é outra muito diferente.
Se vocês me perguntarem o que eu indicaria hoje?
Indicaria a nomeação de um DPO interno que já seja colaborador da empresa e que conheça e entenda todos os processos da empresa, uma vez que não há previsão expressa na LGPD vedando essa prática e que atenderia às adequações da maioria das empresas, já que o Brasil possui muitas micro, pequenas e médias empresas.
Entretanto, sobre esse ponto, teremos que aguardar o posicionamento da Autoridade Nacional de Proteção de Dados.
O § 3º do art. 41 prevê: “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.
Desse modo, o que percebemos é que algumas disposições relacionadas ao DPO poderão sofrer alterações e, por isso, reitero que essa indicação é uma posição pessoal e, caso a autoridade disponha de forma diferente, teremos de nos adequar à regra por ela estabelecida.
Quer se tornar um DPO? Abaixo está o primeiro passo que você precisa:
https://www.implementandoalgpd.com.br/modulo-i-conhecendo-e-entendendo-a-lgpd/
E depois de dominar a lei, você precisa provar que sabe o que fazer na prática:
https://www.implementandoalgpd.com.br/curso-lgpd-modulo-ii-plano-de-adequacao-a-lgpd/
Dúvidas? Envie para nós!
1 Comment
Pingback: O que faz um DPO? - Curso de LGPD - Blog Implementando a LGPD