O que faz e como se tornar um encarregado de dados ou DPO (Data Protection Officer)

Se você acompanha nosso blog, já deve ter visto que o DPO tem um papel fundamental nos processos de conformidade das organizações à LGPD (Lei Geral de Proteção de Dados). Ele é um orquestrador e um fomentador das posturas e melhores práticas de governança em privacidade e proteção de dados. Não é O responsável e nem O ÚNICO responsável por GARANTIR que as políticas e processos que visam proteger titulares e seus dados pessoais estejam sendo seguidas à risca.

Então, qual é o papel do Encarregado de Dados / DPO nesta jornada contínua de adequação?

Bem, perante o texto original da lei, há apenas 4 atribuições: I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações da ANPD e adotar providências; III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.

Mas, felizmente, a função do DPO não é limitada a somente estes pontos.

Baseado na recente consulta pública da ANPD, destacamos algumas das principais propostas quanto às responsabilidades do Encarregado de Dados, e que podem ser objeto de regulação:

• • • 1 – A empresa deverá indicar formalmente quem é o Encarregado de Dados, que pode ser mais de um, podendo ser um empregado interno ou mesmo um prestador de serviço externo terceirizado, devendo atender sempre em língua portuguesa, não presumindo a inscrição em qualquer entidade nem a detenção de qualquer certificação ou formação profissional específica.
    • 2 – Os Agentes de Tratamento de Pequeno Porte, que estão dispensados de indicar um encarregado de dados, devem disponibilizar um canal de comunicação com o titular de dados e com a ANPD
    • 3 – Cabe ao agente de tratamento estabelecer, considerando o contexto, o volume e o risco das operações de tratamento realizadas, as qualificações profissionais para o desempenho das atribuições do encarregado.
    • 4 – A indicação do encarregado deverá observar as suas qualidades profissionais, e, principalmente, seus conhecimentos relativos à disciplina de privacidade e proteção de dados, bem como aqueles necessários para o desempenho das suas funções.
    • 5 – A identidade e as informações de contato do encarregado devem ser mantidas atualizadas e ser divulgadas no sítio eletrônico do agente de tratamento.
    • 6 – A empresa deve prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos recursos humanos, técnicos e administrativos, bem como proporcionar ao encarregado autonomia técnica e acesso à alta administração da organização, para o melhor desempenho de suas atividades, além de prover meios de atendimento humanizados do encarregado com o titular de dados e com a ANPD.
    • 7 – O encarregado poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexista conflito de interesses.
    • 8 – São atribuições complementares do encarregado: I – elaborar a comunicação de incidente de segurança com dados pessoais; II – elaborar o registro das operações de tratamento de dados pessoais; III – elaborar do Relatório de Impacto à Proteção de Dados Pessoais; IV – identificar e analisar o risco relativo ao tratamento de dados pessoais; V – definir medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; VI – implementar as determinações da LGPD, dos regulamentos da ANPD e na adoção de melhores práticas para proteção de dados pessoais; VII – analisar cláusulas contratuais com terceiros que versem sobre proteção de dados pessoais; VIII – responsabilizar-se pela transferências internacionais de dados; IX – formular e implementar regras de boas práticas e de governança e de programa de governança em privacidade.

As responsabilidades acima são apenas proposições. A ANPD ainda não estabeleceu normas complementares sobre as atribuições do encarregado, tema que será objeto de regulamentação futura, conforme previsto na Agenda Regulatória para o biênio 2023-2024.

Mesmo assim, conseguimos ver que a atuação precisará se dar de forma colaborativa e transparente com TODAS as áreas internas. Sem a efetiva cooperação, é impossível, por exemplo, criar um RIPD que reflita plenamente os riscos de determinado processo (e um RIPD incompleto, acaba sendo irrelevante e um desperdício de esforços e orçamento).

E quem pode atuar na função de DPO?

A lei não limita a atuação do Encarregado de Dados. Pode ser tanto uma pessoa física como jurídica. Interno ou externo à organização.

Também não é necessário que o profissional seja um advogado. No nosso entendimento, o que é realmente importante é que este profissional tenha conhecimento da lei, das demais regulamentações de privacidade, conhecimento técnico voltado à proteção de dados e habilidades práticas, hands-on, para tirar ações do mundo etéreo para a realidade de cada organização.

Justamente por isso, nós da Macher Tecnologia criamos dois serviços: O DPO-as-a-Service e o CSC da LGPD. No DPO-as-a-Service você ganha a alocação de uma equipe multidisciplinar (jurídico e TI) para auxiliar na adequação e na manutenção da conformidade. No CSC da LGPD, nós definimos uma equipe, com skillsets customizados para sua necessidade.

Quando da escolha do DPO, é interessante avaliar eventuais conflitos de interesse dentro da organização, assim como a autonomia oferecida ao profissional. Lembre-se sempre de que o cargo do Encarregado é de alta responsabilidade e será o “guardião” da privacidade em sua empresa. Os impactos de uma execução mal sucedida vão de perda de clientes a multas consideráveis que podem, inclusive, inviabilizar a continuidade de seu negócio.

Portanto, esteja atento à quem você delegará esta responsabilidade.

DPO: Mitigando o conflito de interesses

Vamos utilizar a GDPR como exemplo aqui. Ela determina que o controlador evite a nomeação de pessoas que ocupe alto nível hierárquico, onde haveria ocasiões em que necessitaria supervisionar a si mesmo. O Article 29 Data Protection Working Party sugere, de maneira mais ampla, que não devem ser nomeados colaboradores que tomem decisões relevantes acerca de tratamento de dados pessoais, pessoas que atuem como CEO, COO, CFO, CMO, head de áreas ou, ainda, qualquer colaborador que realize tratamento de dados pessoais em larga escala.

Esperamos que este material tenha ajudado você a escolher como implementar tal função em sua organização. 

Precisa de ajuda na mensuração dos riscos e no seu projeto de privacidade?

Se você precisa de ajuda na adequação e na manutenção da conformidade, nós da Macher Tecnologia podemos ajudar! Contamos com um time altamente capacitado na lei, com experiência hands-on em privacidade e proteção de dados, tanto do lado jurídico quanto do lado de TI e projetos.