Com a entrada em vigor da Lei Geral da Proteção de Dados (LGPD), em 18 de setembro de 2020, a figura do Data Protection Officer (DPO) passou a incorporar o cotidiano empresarial com mais frequência.
A tendência é que o tema traga mais preocupações e sua presença se torne obrigatória em muitas empresas. Mas afinal, quem é o encarregado de proteção de dados (Data Protection Officer) e qual sua importância?
Esses questionamentos e muitos outros serão respondidos ao longo deste artigo.
1. O que significa DPO?
Data Protection Officer ou DPO é o profissional responsável por tratar das questões relacionadas à proteção de dados organizacionais e de clientes de uma determinada empresa. Essa nova modalidade de profissão é resultado da intensificação do uso da internet em ambientes corporativos, resultando em um armazenamento massivo de informações pessoais.
As empresas têm se preocupado com a segurança dessas informações, visto que sem suporte profissional estão sujeitas a ataques e vazamentos, e consequentemente, no seu uso malicioso. Além dessas justificativas para a sua existência, o DPO também conta com respaldo legal para atuação, previstos em lei e acordos internacionais.
2. Onde surgiu o termo DPO?
De uns tempos para cá, nota-se que as informações pessoais têm circulado como moeda de troca em inúmeros sites e plataformas digitais. Pensando nisso, surge na Europa o Regulamento Geral de Proteção de Dados (General Data Protection Regulation) que introduziu a figura do Data Protection Officer (DPO). A finalidade era estabelecer um responsável para cuidar da proteção de dados pessoais dos cidadãos europeus.
Sendo assim, organizações públicas que recebem, tratam ou armazenam dados pessoais e sensíveis, em larga escala, necessitam de um DPO em seu quadro de colaboradores. Ademais, o Regulamento Geral de Proteção de Dados estabeleceu a obrigatoriedade para instituições européias, com base em três critérios:
- Órgãos públicos que exercem tratamento de dados. As organizações públicas relativas ao poder judiciário estão isentas.
- Instituições que processam ou regulam dados pessoais sensíveis, se aplicando também aos dados de condenações e condutas criminosas.
- Organizações que desenvolvem monitoramento em larga escala de dados pessoais.
3. DPO no Brasil
No Brasil, com a recente chegada da Lei Geral da Proteção de Dados (LGPD), diversas empresas deverão ter um encarregado de proteção de dados em seu itinerário. Ademais, a lei prevê que a nomeação de um DPO é crucial a todas as empresas, não importando o porte e a esfera de atuação, seja ela pública ou privada.
Em caso de descumprimento, após fiscalização da Agência Nacional de Proteção de Dados (ANPD), os negligentes poderão perder seu status de exclusividade. Além disso, as multas serão bastante severas e podem chegar a até 50 milhões de reais por infração, visto que compreendem até 2% do faturamento anual das empresas.
4. Diferença entre DPO interno e DPO as a service
A LGPD não estabelece obrigatoriedade para que o encarregado da proteção de dados faça parte do quadro de colaboradores da empresa. Isso significa que não existe uma forma correta de contratação desse profissional, visto que a real urgência é a nomeação de um responsável por esse setor. Nesse sentido, entra em pauta a distinção entre DPO interno e DPO as a service:
4.1. DPO interno
O termo é bem autoexplicativo, sendo que esse profissional faz parte do quadro organizacional da empresa e, geralmente, está regulamentado sob o regime da CLT. Ele possui uma série de vantagens justamente por estar inserido no cotidiano da empresa, conhecendo os processos, objetivos e pessoas envolvidas na adequação à LGPD.
4.2. DPO as a service
Este é o nome atribuído ao encarregado de proteção de dados, contratado de forma terceirizada. Essa modalidade configura uma prestação de serviços comum, regida pela Lei nº 10.406/2002, do Código Civil. Sua principal vantagem é a disposição de custos mais acessíveis, visto que os contratos são firmados de acordo com a necessidade.
5. Quais funções de um DPO?
As atribuições de um encarregado de proteção de dados serão executadas de acordo com a sua capacidade de integração com as áreas da empresa, bem como, seus conhecimentos profissionais sobre proteção de dados.
É possível considerar que a função principal desse profissional é ser o intermediário entre a empresa e a Autoridade Nacional da Proteção de Dados (ANPD), concedendo dados e informações precisas no quesito da proteção de dados.
Esta função está prevista na Lei Geral da Proteção de Dados (LGPD), onde há uma série de atribuições a serem executadas pelo DPO. Dentre elas podemos citar:
- Garantir a execução de políticas de privacidade e proteção de dados;
- Controle e acompanhamento da produção do Relatório de Impacto sobre Proteção de Dados (RIPD);
- Desenvolver abordagens de Privacidade por Desenho e por Padrão;
- Promover a criação boas práticas para a proteção de dados;
- Coletar informações para identificar atividades de tratamento;
- Sensibilização e informação de todos que tratem dados pessoais.
Vale salientar que esse profissional exerce papel conectivo fundamental dentro de uma empresa. Afinal, ele será o elo entre o CEO com o setor de tecnologia da informação e o jurídico e, por esse motivo, o conhecimento da empresa e seus fluxos de dados é indispensável.
6. Quem pode ser um DPO?
Você deve estar se perguntando sobre quem seria o profissional mais adequado dentro de sua empresa para assumir tal responsabilidade. Os CIOs e os líderes em tecnologia são os mais indicados por terem mais aptidão com o assunto, contudo, a lei não estabelece nenhuma formação específica.
Ainda assim, as empresas têm exigido certificação em DPO para executar tais funções e acabam recorrendo a consultorias jurídicas personalizadas, a fim de elucidar tais questões. Desse modo, podemos afirmar que não se trata de uma tarefa fácil, necessitando de orçamento e um time preparado para essa atividade.
O DPO deverá ter autonomia para executar suas tarefas, de modo que a ele sejam disponibilizados os fluxos de informações e comandos necessários para determinar se a empresa está em conformidade com as normas e diretrizes de proteção de dados.
7. Quais empresas precisam de um DPO?
Outro questionamento relevante entre as organizações empresariais é se todas as empresas precisam de um DPO para se adequar à LGPD. Sobre isso, podemos afirmar que a obrigatoriedade é estabelecida através de alguns critérios:
- Se trata de um órgão público ou autoridade governamental, como por exemplo escolas e governos locais;
- As atividades principais da sua empresa envolvem monitoramento sistemático e de grande alcance de pessoas;
- Suas atividades principais envolvem o processamento em grande escala de dados de categorias pessoais.
Caso sua empresa esteja em conformidade com algum desses critérios, você é legalmente obrigado a nomear um DPO. Contudo, ainda que não se enquadre em nenhum desses quesitos, é recomendável a nomeação do encarregado para sua empresa, visto que será preciso atribuir um responsável pelos dados públicos.
Portanto, podemos reconhecer que a figura do Data Protection Officer (DPO) ou encarregado de proteção de dados é de crucial importância em uma adequação à LGPD. Ele é o responsável pelo monitoramento e proteção das informações pessoais de uma organização, além de garantir a segurança dos dados de clientes, colaboradores e da própria empresa. Para esse processo, recomenda-se o auxílio de uma consultoria jurídica personalizada.
Marco Antônio Farias da Silva