LGPD: DPO, DPIA e DPA - O que é essa sopa de letrinhas e como ela afeta você?

Homem em dúvida sobre LGPD, DPO, DPIA e DPA

Se você nos acompanha, já deve ter percebido que essa sopa de letrinhas se refere à LGPD.

A Lei Geral de Proteção de Dados já está plenamente em vigor, definindo como empresas públicas e privadas podem processar dados pessoais em seu poder.

Toda atividade profissional e empresarial que tenha participação no tratamento e guarda dos dados será responsável por compreender e cumprir a Lei, identificando quais ações de adequação são necessárias para seus processos e tratamentos. Se você precisa de ajuda na implantação da LGPD, clique aqui!

A LGPD tem muitos pontos em comum com a GDPR, sua “equivalente” europeia. Assim, os termos aqui apresentados advêm dos seus respectivos termos em Inglês. E lembre-se, há mais de 120 regulamentações ou leis de privacidade ao redor do mundo!

Se você ainda precisa de ajuda para compreender o que é um dado pessoal, este artigo pode te ajudar: Dado Pessoal e Dado Pessoal Sensível: qual a diferença na LGPD e por que isso importa?

Aqui vamos apresentá-los e oferecer uma breve explicação sobre cada.

Vamos entender tais termos da LGPD com mais atenção então:

  • DPO:

    No caso do DPO, talvez este termo seja o mais facilmente compreendido. Este é o Data Protection Officer, ou seja, a função do Encarregado pela Proteção de Dados Pessoais na LGPD. O termo DPO veio da GDPR e a comunidade brasileira utiliza-o de forma intercambiável. Seu papel é ser a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);”. Seu papel vai além e também inclui o monitoramento das posturas nas diferentes áreas, o treinamento da organização, a manutenção do controle sobre a política de proteção de dados, entre outros. Será uma figura importantíssima no processo de compliance. Quer saber se precisa de um DPO? Clique aqui!

    A função do DPO pode ser exercida tanto por um profissional interno quanto por uma estrutura terceirizada, no modelo de DPO-as-a-Service (ou DPOaaS). A escolha depende da maturidade da organização, da complexidade dos tratamentos de dados e da necessidade de contar com apoio multidisciplinar em temas jurídicos, técnicos, operacionais e de segurança da informação. Para muitas empresas, o DPO-as-a-Service é uma alternativa eficiente para garantir acompanhamento contínuo, orientação especializada, resposta a titulares e suporte à governança de privacidade, sem a necessidade de manter uma estrutura completa dedicada internamente.

  • DPIA e RIPD:

    Já o DPIA significa Data Protection Impact Assessment e se traduz na RIPD ou Relatório de Impacto à Proteção de Dados. É com este documento que a organização vai identificar, analisar e tratar os riscos associados a um processo, tratamento, sistema ou a organização como um todo, frente à proteção dos dados dos titulares. É aqui onde se listam os dados pessoais pretendidos, sua necessidade e proporcionalidade, e se demonstram as atividades de minimização – por exemplo. Identificam-se os riscos aos titulares frente aos tratamentos pretendidos. É um documento vivo, importante e de grande valor na comprovação de conformidade. Leia mais sobre DPIAs no site da ICO.UK.

  • Importante: O DPIA precisa vir acompanhado de um plano de ação, com passos efetivos para serem realizados. Ter o DPIA e nenhuma ação tomada, inviabiliza a conformidade.
  • Veja também: Por que é importante preparar o DPIA?

  • DPA:

    O DPA é o Data Processing Agreement ou Acordo de Processamento de Dados. Um documento formal entre controladores e operadores onde determinam-se o escopo e regras explícitas da atividade contratada, as medidas técnicas e processos organizacionais aplicáveis para proteger o dado fornecido para tratamento, os direitos e as obrigações de cada parte focando na segurança e proteção dos dados. Pode (e deve) incluir questões como níveis de segurança, auditoria, backups, retenção, identificação de sub-operadores, etc. Podemos ver, inclusive, como um adendo aos contratos existentes. Você também pode se interessar sobre “Cláusulas Contratuais Padrão” ou SCCs, que vão abordar temas como a transferência internacional de dados.

  • ROPA:

    Documentos adicionais para tratamento de dados. Veja nosso post específico LGPD: Você sabe o que ROPA e RIPD significam e quando prepará-los?. O ROPA também pode ser digital e para tanto, você pode, inclusive, contar com o apoio do Software SaaS DPO Helper.

    O ROPA (Record of Processing Activities, ou Registro das Operações de Tratamento) é o documento que organiza e descreve como uma empresa trata dados pessoais em seus processos de negócio. Ele registra informações como quais dados são coletados, para quais finalidades, qual a base legal utilizada, quem são os responsáveis pelo tratamento, com quem os dados são compartilhados, por quanto tempo são armazenados e quais medidas de segurança são aplicadas. Na prática, o ROPA funciona como um mapa vivo das atividades de tratamento da organização, ajudando o DPO e as áreas internas a identificar riscos, corrigir excessos, responder a titulares e demonstrar conformidade com a LGPD.

  • LIA:

    LIA (Legitimate Interest Assessment) ou Avaliação de Legítimo Interesse são processos de avaliação conduzidos por cada organização que irão medir o impacto de um determinado tratamento frente aos direitos dos titulares, ou seja, se a razão pela qual uma empresa pretende tratar determinado dado não supera os benefícios potenciais aos titulares. Deve ser realizada quando deseja-se embasar este tratamento no “Legítimo interesse” e não em outras bases legais. Esta avaliação é parte da demonstração de que a empresa revisou seus processos e é documento relevante nas auditorias. Veja também: LIA: O que é e quando prepará-lo.

  • PIA:

    O PIA é um processo estruturado que avalia os impactos na privacidade de um projeto, sistema ou serviço que envolve o tratamento de dados pessoais. Um acrônimo para Privacy Impact Assessment. Seu objetivo é identificar riscos, propor medidas mitigadoras e garantir a transparência no tratamento dos dados. Deve ser parte de seu projeto/processo de gestão de riscos organizacionais, voltado para privacidade e proteção de dados. O PIA deve ser realizado sempre que houver um novo processamento de dados pessoais que possa representar, potencialmente, riscos aos titulares. Não é obrigatório pela LGPD, mas é uma boa prática. Veja também: PIA: O que é e quando prepará-lo.

    • Materiais adicionais:

    Agora que você já sabe um pouquinho mais sobre estes termos e suas necessidades, que tal obter um pouquinho mais de conhecimento sobre a LGPD? Clique nos links abaixo e navegue em nossos conteúdos!

    Suportamos sua empresa na jornada de conformidade e adequação com a LGPD!

    Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

    CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO

    DPO AS A SERVICE