Data Protection Officer (“DPO”): como esse profissional pode ajudar a sua empresa

Data: 31/05/2021 | Por: | Em: Identidade e Acesso | Página inicial > Data Protection Officer (“DPO”): como esse profissional pode ajudar a sua empresa

Data Protection Officer (“DPO”): como esse profissional pode ajudar a sua empresa

Com o advento da Lei de Proteção de Dados (Lei Federal nº 13.709/18 – “LGPD”), tornou-se imprescindível implementar a pauta de proteção dos dados pessoais na cultura das empresas.

Muito pelo receio das sanções administrativas ou requisições de adequação por seus maiores clientes, as empresas se viram obrigadas a se adequar a esta nova realidade, adotando novos mecanismos para gerir os seus negócios, bem como novas práticas e controles, a fim de assegurar o cumprimento desta lei.

Nesse contexto, surge a figura do Data Protection Officer (“DPO”) ou Encarregado de Proteção de Dados (“EPD”), tal qual se caracteriza como o profissional que, entre outras atribuições, busca garantir o acesso, transparência e compliance sobre como os dados são utilizados pela empresa.

O DPO e a LGPD

A figura do DPO ganhou maior notoriedade a partir da publicação do Regulamento Geral de Dados da União Europeia (General Data Protection Regulation – “GDPR”), em maio de 2018. No entanto, não se pode afirmar que o conceito do DPO é novo, já que desde 1995 havia a previsão desta função, pela Diretiva 95/46/CE3.

Receba nosso conteúdo por email

Preencha os campos abaixo para se cadastrar em nosso blog.

    De forma ampla, o DPO se apresenta como um especialista em proteção de dados pessoais, o qual deve monitorar e garantir que a empresa cumpra a legislação, internalizando as regras e boas práticas em sua cultura. Percebe-se, ainda, que o DPO se coloca como uma espécie de intermediador na relação da empresa com os titulares e com as autoridades governamentais.

    A Lei Geral de Proteção de Dados Pessoais é a lei brasileira que versa sobre proteção de dados pessoais dos titulares, que tem como base os direitos à liberdade e à privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico nacional.

    Após anos de discussão sobre a necessidade de uma lei protetiva de dados, em 2018, o Projeto Lei nº 4060/12 (o anteprojeto de lei sobre proteção de dados) se transformou em Projeto de Lei da Câmara nº 53/2018, o qual foi aprovado em julho daquele ano pelo plenário do Senado Federal, assim, a LGPD iniciava a sua história em âmbito nacional.

    A LGPD se aplica tanto para tratamentos realizados por empresas privadas ou órgãos públicos quanto para aqueles realizados por pessoas físicas com finalidades econômicas e tem como objetivo tutelar o tratamento de dados pessoais, estabelecendo os deveres e obrigações aos agentes de tratamento e direitos aos titulares de dados.

    De acordo com a advogada Ana Carolina Teles, do escritório Assis e Mendes Advogados: as empresas não devem interromper o seu modelo de negócio ou temer à LGPD, pelo contrário, devem encarar à legislação como mais uma norma a qual devem se adequar e entendê-la muito mais como uma parceira do que uma inimiga. É importante ter em mente que dado é como urânio, tanto serve para criar energia limpa e renovável, como uma bomba atômica!”

    É notável que a lei protetiva de dados brasileira se inspirou no Regulamento Europeu, a GDPR, em muitos aspectos e, principalmente, quanto à figura do DPO. Portanto, com a vigência da LGPD, o DPO recebeu o nome de Encarregado de Proteção de Dados (“EPD”).

    Especificamente, o art. 5º, VIII, da LGPD, definiu o Encarregado da seguinte forma: “Pessoa indicada pelo controlador e operador  para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

    Quais as funções de um DPO dentro de uma empresa?

    A LGPD, em seu art. 41, dispõe sobre a indicação e atividades a serem exercidas por esse profissional, e, de forma pouco objetiva, também prevê como deve ser publicizado o DPO de uma empresa.

    Em suma, o DPO deve, de acordo com os incisos I a IV, do §2º, do art. 41, prestar esclarecimentos aos titulares de dados, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade sobre as leis de proteção de dados e executar as atribuições determinadas pelo controlador ou por normas complementares.

    É importante compreender que também poderão ser absorvidas pelo DPO, a elaboração, revisão e/ou atualização do relatório de impactos à proteção de dados pessoais, registros das operações de tratamento de dados pessoais e orientações para os operadores de dados pessoais, bem como poderá ter as seguintes atribuições:

    • Garantir que os responsáveis ​​pelo tratamento os titulares dos dados sejam informados sobre os seus direitos, obrigações e responsabilidades em matéria de proteção de dados e aumentar a sensibilização para os mesmos;
    • Tutelar a interpretação ou aplicação das regras de proteção de dados;
    • Criar um registo das operações de tratamento na empresa, notificando transações que apresentem riscos específicos;
    • Garantir a conformidade com a proteção de dados dentro da organização;
    • Atender dúvidas ou reclamações a pedido da empresa, do controlador, de funcionários ou por sua própria iniciativa;
    • Sinalizar a importância para qualquer não cumprimento das regras de proteção de dados aplicáveis;
    • Certificar junto aos departamentos a inserção de uma determinação clara nas ocasiões em que a coleta de dados é feita, para que o usuário tenha ciência e possa fornecer sua permissão.

    Ressalta-se que, conforme prevê o §3º, do art. 41, a Autoridade Nacional de Proteção de Dados (ANPD) irá estabelecer normas complementares sobre a definição e as atribuições do DPO, especialmente em relação às possibilidades de dispensa da nomeação deste profissional em determinados tipos de empresas.

    Qual a importância de um DPO dentro do quadro de funcionários de uma empresa?

    A atuação do DPO irá contribuir para a construção de uma reputação positiva da organização, proporcionando uma maior transparência e aumentando o grau de confiança do usuário. É essencial, ainda, que o DPO esteja dedicado integralmente à governança dos dados, visando garantir que a gestão da empresa possa focar seus esforços em decisões assertivas.

    Neste ponto, Adriano Mendes, DPO e também sócio do Assis e Mendes Advogados, esclarece sobre a importância do DPO, as suas atribuições e formação:

    “Ao se analisar a LGPD, verificamos que ela não limita o DPO a uma pessoa física ou jurídica. Desta forma, entende-se que o DPO pode ser tanto pessoa natural, quanto pessoa jurídica. Importante esclarecermos, também, que, atualmente, não existem normas que indiquem ou exijam formação e/ou certificações específicas para atuação como DPO, nem que imponham que a função seja assumida por profissional da área jurídica, da tecnologia ou segurança da informação ou atividades correlatas. O ideal é que o DPO tenha autonomia e independência dentro da organização, bem como tenha apoio ativo dos C-Levels e tempo suficiente para desempenhar as suas tarefas. Por fim, é essencial que o profissional também tenha contato direto com a presidência e diretoria, capacidade de diálogo e pleno conhecimento das leis setoriais e gerais que afetam a forma como a organização pode e deve coletar dados e sobre os processos internos e de governança da empresa. O DPO que segue essas diretrizes poderá trazer uma inovação e centralização da cultura de proteção de dados em âmbito organizacional, estabelecendo diretriz interna que irá corroborar efetivamente com o compliance e governança corporativa da empresa.”

    Conclui-se, portanto, que as empresas que ainda não se atentaram sobre a necessidade de implementar à LGPD devem começar a se movimentar nesse sentido, especialmente, no que tange à necessidade da nomeação de um profissional como o DPO, o qual será essencial na pavimentação da cultura de proteção de dados na organização.

    Entretanto, não basta apenas termos e consentimentos, é necessário implementar ferramentas que auxiliem seus processos de forma proativa. Conheça o CAP2AM, plataforma de Gestão de Identidade e Acesso que busca otimizar a gestão de identidade de usuários, o provisionamento e a requisição de acesso.

    CAP2AM é uma solução de IG&A (Identity Governance and Administration) que estabelece um fluxo integrado e efetivo entre os principais sistemas e recursos corporativos, permitindo uma sinergia completa entre governança, usabilidade, integração e auditoria.

    Tem dúvida de como lidar com a LGPD? Fale com um especialista do Assise Mendes, escritório de advocacia especializado no tema. Conheça mais do trabalho em www.assisemendes.com.br.

    Compartilhe este artigo

    Novidades por email

    Customer service, back office activities, lots of Ms-Excel spreadsheets