Data Protection Officer (“DPO”): como esse profissional pode ajudar a sua empresa
Com o advento da Lei de Proteção de Dados (Lei Federal nº 13.709/18 – “LGPD”), tornou-se imprescindível implementar a pauta de proteção dos dados pessoais na cultura das empresas.
Muito pelo receio das sanções administrativas ou requisições de adequação por seus maiores clientes, as empresas se viram obrigadas a se adequar a esta nova realidade, adotando novos mecanismos para gerir os seus negócios, bem como novas práticas e controles, a fim de assegurar o cumprimento desta lei.
Nesse contexto, surge a figura do Data Protection Officer (“DPO”) ou Encarregado de Proteção de Dados (“EPD”), tal qual se caracteriza como o profissional que, entre outras atribuições, busca garantir o acesso, transparência e compliance sobre como os dados são utilizados pela empresa.
O DPO e a LGPD
A figura do DPO ganhou maior notoriedade a partir da publicação do Regulamento Geral de Dados da União Europeia (General Data Protection Regulation – “GDPR”), em maio de 2018. No entanto, não se pode afirmar que o conceito do DPO é novo, já que desde 1995 havia a previsão desta função, pela Diretiva 95/46/CE3.
De forma ampla, o DPO se apresenta como um especialista em proteção de dados pessoais, o qual deve monitorar e garantir que a empresa cumpra a legislação, internalizando as regras e boas práticas em sua cultura. Percebe-se, ainda, que o DPO se coloca como uma espécie de intermediador na relação da empresa com os titulares e com as autoridades governamentais.
A Lei Geral de Proteção de Dados Pessoais é a lei brasileira que versa sobre proteção de dados pessoais dos titulares, que tem como base os direitos à liberdade e à privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico nacional.
Após anos de discussão sobre a necessidade de uma lei protetiva de dados, em 2018, o Projeto Lei nº 4060/12 (o anteprojeto de lei sobre proteção de dados) se transformou em Projeto de Lei da Câmara nº 53/2018, o qual foi aprovado em julho daquele ano pelo plenário do Senado Federal, assim, a LGPD iniciava a sua história em âmbito nacional.
A LGPD se aplica tanto para tratamentos realizados por empresas privadas ou órgãos públicos quanto para aqueles realizados por pessoas físicas com finalidades econômicas e tem como objetivo tutelar o tratamento de dados pessoais, estabelecendo os deveres e obrigações aos agentes de tratamento e direitos aos titulares de dados.
De acordo com a advogada Ana Carolina Teles, do escritório Assis e Mendes Advogados: “as empresas não devem interromper o seu modelo de negócio ou temer à LGPD, pelo contrário, devem encarar à legislação como mais uma norma a qual devem se adequar e entendê-la muito mais como uma parceira do que uma inimiga. É importante ter em mente que dado é como urânio, tanto serve para criar energia limpa e renovável, como uma bomba atômica!”
É notável que a lei protetiva de dados brasileira se inspirou no Regulamento Europeu, a GDPR, em muitos aspectos e, principalmente, quanto à figura do DPO. Portanto, com a vigência da LGPD, o DPO recebeu o nome de Encarregado de Proteção de Dados (“EPD”).
Especificamente, o art. 5º, VIII, da LGPD, definiu o Encarregado da seguinte forma: “Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
Quais as funções de um DPO dentro de uma empresa?
A LGPD, em seu art. 41, dispõe sobre a indicação e atividades a serem exercidas por esse profissional, e, de forma pouco objetiva, também prevê como deve ser publicizado o DPO de uma empresa.
Em suma, o DPO deve, de acordo com os incisos I a IV, do §2º, do art. 41, prestar esclarecimentos aos titulares de dados, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade sobre as leis de proteção de dados e executar as atribuições determinadas pelo controlador ou por normas complementares.
É importante compreender que também poderão ser absorvidas pelo DPO, a elaboração, revisão e/ou atualização do relatório de impactos à proteção de dados pessoais, registros das operações de tratamento de dados pessoais e orientações para os operadores de dados pessoais, bem como poderá ter as seguintes atribuições:
- Garantir que os responsáveis pelo tratamento e os titulares dos dados sejam informados sobre os seus direitos, obrigações e responsabilidades em matéria de proteção de dados e aumentar a sensibilização para os mesmos;
- Tutelar a interpretação ou aplicação das regras de proteção de dados;
- Criar um registo das operações de tratamento na empresa, notificando transações que apresentem riscos específicos;
- Garantir a conformidade com a proteção de dados dentro da organização;
- Atender dúvidas ou reclamações a pedido da empresa, do controlador, de funcionários ou por sua própria iniciativa;
- Sinalizar a importância para qualquer não cumprimento das regras de proteção de dados aplicáveis;
- Certificar junto aos departamentos a inserção de uma determinação clara nas ocasiões em que a coleta de dados é feita, para que o usuário tenha ciência e possa fornecer sua permissão.
Ressalta-se que, conforme prevê o §3º, do art. 41, a Autoridade Nacional de Proteção de Dados (ANPD) irá estabelecer normas complementares sobre a definição e as atribuições do DPO, especialmente em relação às possibilidades de dispensa da nomeação deste profissional em determinados tipos de empresas.
Qual a importância de um DPO dentro do quadro de funcionários de uma empresa?
A atuação do DPO irá contribuir para a construção de uma reputação positiva da organização, proporcionando uma maior transparência e aumentando o grau de confiança do usuário. É essencial, ainda, que o DPO esteja dedicado integralmente à governança dos dados, visando garantir que a gestão da empresa possa focar seus esforços em decisões assertivas.
Neste ponto, Adriano Mendes, DPO e também sócio do Assis e Mendes Advogados, esclarece sobre a importância do DPO, as suas atribuições e formação:
“Ao se analisar a LGPD, verificamos que ela não limita o DPO a uma pessoa física ou jurídica. Desta forma, entende-se que o DPO pode ser tanto pessoa natural, quanto pessoa jurídica. Importante esclarecermos, também, que, atualmente, não existem normas que indiquem ou exijam formação e/ou certificações específicas para atuação como DPO, nem que imponham que a função seja assumida por profissional da área jurídica, da tecnologia ou segurança da informação ou atividades correlatas. O ideal é que o DPO tenha autonomia e independência dentro da organização, bem como tenha apoio ativo dos C-Levels e tempo suficiente para desempenhar as suas tarefas. Por fim, é essencial que o profissional também tenha contato direto com a presidência e diretoria, capacidade de diálogo e pleno conhecimento das leis setoriais e gerais que afetam a forma como a organização pode e deve coletar dados e sobre os processos internos e de governança da empresa. O DPO que segue essas diretrizes poderá trazer uma inovação e centralização da cultura de proteção de dados em âmbito organizacional, estabelecendo diretriz interna que irá corroborar efetivamente com o compliance e governança corporativa da empresa.”
Conclui-se, portanto, que as empresas que ainda não se atentaram sobre a necessidade de implementar à LGPD devem começar a se movimentar nesse sentido, especialmente, no que tange à necessidade da nomeação de um profissional como o DPO, o qual será essencial na pavimentação da cultura de proteção de dados na organização.
Entretanto, não basta apenas termos e consentimentos, é necessário implementar ferramentas que auxiliem seus processos de forma proativa. Conheça o CAP Platform, plataforma de Gestão de Identidade e Acesso que busca otimizar a gestão de identidade de usuários, o provisionamento e a requisição de acesso.
O CAP Platform é uma solução de IG&A (Identity Governance and Administration) que estabelece um fluxo integrado e efetivo entre os principais sistemas e recursos corporativos, permitindo uma sinergia completa entre governança, usabilidade, integração e auditoria.
Quer saber mais como nossas soluções podem impactar o seu negócio? Entre em contato e descubra!