Quando se trata de privacidade e proteção de dados, a figura do DPO – ou Encarregado de Dados Pessoais – assume um papel estratégico e indispensável. Segundo a LGPD, esse profissional é o principal responsável por manter a conformidade da organização, atuando como elo entre o controlador, os titulares dos dados e a ANPD. Em outras palavras, o DPO é o guardião do Programa de Governança em Privacidade, garantindo que as práticas adotadas estejam alinhadas com as exigências legais e normativas.
No entanto, internalizar a função de DPO pode apresentar desafios importantes. A designação de um colaborador para exercer essa função, sem a devida análise dos riscos, pode resultar em acúmulo ilegal de funções, conflitos de interesse, falta de capacidade técnica adequada e dificuldade na dedicação exclusiva à função – cada um desses aspectos pode impactar negativamente a eficácia do programa de privacidade da organização.
A seguir, conheça em detalhes os quatro principais riscos em se internalizar a função de DPO e entenda por que é fundamental avaliar cuidadosamente essa decisão para evitar futuros dissabores e garantir a conformidade com a LGPD.
Antes de entrarmos nos riscos, é importante entender o significado de DPO na LGPD.
O DPO (Data Protection Officer), também conhecido como Encarregado de Dados Pessoais, é o principal responsável por manter a conformidade das organizações com a LGPD – o verdadeiro guardião do Programa de Governança em Privacidade. Segundo a Lei Geral de Proteção de Dados Pessoais, o DPO deve ser uma pessoa, natural ou jurídica, indicada pelo controlador, atuando como canal de comunicação entre o agente de tratamento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
A seguir, apresentamos os quatro principais riscos associados à internalização da função de DPO:
A escolha do DPO é um desafio estratégico, pois muitas vezes o profissional designado já ocupa outra posição na empresa. Embora a legislação de privacidade não proíba, de forma explícita, o acúmulo de funções, essa prática pode configurar ilegalidade se o colaborador for sobrecarregado com atividades extras sem o devido acréscimo salarial.
O acúmulo se caracteriza pelo desequilíbrio entre as funções inicialmente acordadas e as novas tarefas atribuídas, comprometendo a eficácia do trabalho do DPO. É essencial que a organização defina seu apetite de risco e analise se o acúmulo de funções poderá afetar o desempenho do DPO.
A escolha do DPO ou do Encarregado de Dados Pessoais é desafiadora e estratégica para as organizações, pois em diversos casos, o profissional que irá assumir essa função já detém uma outra posição estabelecida dentro da empresa.
O risco de conflitos de interesses surge quando o DPO desempenha outras funções que influenciam a determinação das finalidades e dos meios de tratamento de dados pessoais, bem como a fiscalização desses processos.
Segundo as orientações do European Data Protection Board (EDPB), é recomendável evitar a acumulação de funções que possam gerar conflitos – mesmo cargos de alta gestão ou funções que, em níveis inferiores, também possam influenciar essas decisões.
Um exemplo emblemático ocorreu na Bélgica, onde uma operadora de telefonia foi multada por permitir que o DPO acumulasse a função de compliance officer, evidenciando a importância de manter a independência do DPO.
A eficácia do DPO depende fortemente de seu conhecimento técnico e experiência em proteção de dados. Um dos riscos críticos é a falta de capacidade técnica adequada para exercer a função. De acordo com as orientações do EDPB, o DPO deve ser designado com base em suas qualidades profissionais e, sobretudo, em seu conhecimento especializado sobre as normas e práticas de proteção de dados.
Se o profissional não possuir as competências necessárias, a organização pode enfrentar sérios desafios para implementar as medidas técnicas e administrativas exigidas pela LGPD.
Em ambientes com operações complexas ou com grande volume de dados sensíveis, a necessidade de um DPO altamente qualificado se torna ainda mais evidente. Sem o preparo adequado, o DPO pode falhar em identificar riscos, adotar controles eficazes ou propor melhorias estratégicas, comprometendo a conformidade da empresa e expondo-a a penalizações.
Por fim, a impossibilidade de dedicação exclusiva é um risco que merece atenção especial. A função de DPO exige disponibilidade total para responder prontamente a solicitações de titulares, autoridades e para orientar os colaboradores sobre questões de privacidade. Se o profissional designado não puder se dedicar exclusivamente à função, os esforços de adequação à LGPD podem ser comprometidos. A falta de dedicação pode resultar em atrasos na implementação de medidas corretivas, na resposta a incidentes e na comunicação com a ANPD, aumentando o risco de descumprimento dos requisitos legais.
A dedicação exclusiva é fundamental para que o DPO exerça seu papel de forma eficaz, assegurando que as estratégias de proteção de dados sejam plenamente executadas e que a organização mantenha uma postura proativa na prevenção de riscos. Sem essa dedicação, os processos de avaliação, monitoramento e melhoria contínua podem ser prejudicados, impactando negativamente a governança de privacidade da empresa.
A internalização da função de DPO é uma decisão estratégica que envolve riscos significativos. É essencial que a organização avalie cuidadosamente o acúmulo de funções, os possíveis conflitos de interesses, a capacidade técnica do profissional e a disponibilidade para a dedicação exclusiva. Ao ponderar esses riscos, a empresa estará melhor preparada para garantir que o DPO possa desempenhar suas responsabilidades de forma eficaz, protegendo os dados e fortalecendo a cultura de privacidade.
Antes de internalizar a função de DPO, é fundamental que a organização defina seu apetite de risco e busque alternativas que possam mitigar essas preocupações, garantindo conformidade e eficiência na implementação da LGPD.
Entre em contato com nossos especialistas que vamos te ajudar!
Acesse, em primeira mão, as nossas principais notícias diretamente em seu e-mail
Contatos
R. Ferreira Lima, 238, 2º Andar, Centro, Florianópolis - SC, 88015-420
Nossas Atuações
Consultoria
Assessoria
Auditoria
GEP Soluções em Compliance © 2024 - Anfi Consulting
