DPO e a sua importância na adequação à LGPD

A Lei Geral de Proteção de Dados (LGPD) trouxe mudanças significativas para empresas que lidam com informações pessoais, exigindo maior transparência e segurança no tratamento desses dados.

Um dos pontos centrais dessa legislação é a exigência de um profissional responsável por garantir a conformidade com as regras: o DPO, também conhecido como Encarregado pelo Tratamento de Dados Pessoais.

Mas afinal, qual é o papel do DPO e por que ele é essencial para a adequação à LGPD? Neste artigo, vamos explorar suas funções, responsabilidades e se vale mais a pena internalizar ou terceirizar essa função.

O que é um DPO e por que ele é obrigatório?

O termo DPO (Data Protection Officer) não foi criado pela LGPD, tampouco pelo GDPR (Regulamento Geral de Proteção de Dados da União Europeia). Sua origem remonta à Diretiva 95/46/CE, um dos primeiros regulamentos de proteção de dados da Europa.

A ISO 27701, que estabelece diretrizes para Sistemas de Gestão de Privacidade da Informação, também reforça a necessidade de um ponto de contato responsável pelo tratamento de dados pessoais. No Brasil, a LGPD definiu o DPO como um intermediário entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Toda empresa que trata dados pessoais, independentemente do porte ou segmento, deve nomear um DPO. Esse profissional pode ser um colaborador interno ou uma empresa terceirizada, no modelo DPO as a Service.

Atualmente, a ANPD ainda não regulamentou exceções para essa obrigatoriedade, então, até que haja novas diretrizes, a nomeação do DPO segue sendo exigida por lei.

Quais são as funções do DPO?

A LGPD estabelece, no artigo 41, as principais responsabilidades do DPO:

• Atender solicitações e reclamações dos titulares de dados;
• Receber e responder comunicações da ANPD;
• Orientar colaboradores sobre boas práticas de proteção de dados;
• Executar atribuições determinadas pelo controlador.

Além dessas funções básicas, na prática, o DPO também desempenha tarefas estratégicas, como:

• Implementar um Programa de Governança de Privacidade;
• Monitorar a conformidade da empresa com a LGPD;
• Definir bases legais para o tratamento de dados;
• Identificar e mitigar riscos relacionados à privacidade;
• Elaborar Relatórios de Impacto à Proteção de Dados (RIPD);
• Definir medidas técnicas e administrativas para segurança dos dados;
• Conduzir treinamentos sobre proteção de dados para colaboradores;
• Auxiliar no gerenciamento de incidentes de segurança.

O GDPR detalha ainda mais as atribuições do DPO, incluindo:

• Aconselhar a empresa sobre boas práticas de proteção de dados;
• Realizar auditorias internas para garantir conformidade;
• Cooperar com a autoridade de proteção de dados em fiscalizações.

Essas responsabilidades mostram que o DPO não é apenas um requisito legal, mas um papel estratégico na governança de dados e na construção de uma cultura de privacidade dentro das empresas.

Quais são as habilidades e qualificações necessárias para um DPO?

Diferente do GDPR, que exige que o DPO tenha conhecimento especializado na área de proteção de dados, a LGPD não especifica requisitos formais para o cargo.

• No entanto, espera-se que esse profissional tenha:
• Conhecimento jurídico sobre proteção de dados e privacidade;
• Familiaridade com normas como ISO 27001 e ISO 27701;
• Capacidade de liderança para implementar políticas internas;
• Habilidades de comunicação para lidar com titulares e reguladores;
• Experiência com auditoria e avaliação de riscos.

Outro ponto importante é definir se a função será desempenhada por um único profissional ou por um comitê multidisciplinar dentro da organização. Além disso, é essencial garantir que o DPO tenha autonomia para atuar sem conflitos de interesse.

Internalizar ou terceirizar o DPO?

Não existe uma resposta única para essa decisão, pois depende das necessidades e recursos de cada empresa.

Vantagens de ter um DPO interno

• Maior familiaridade com a cultura e processos da empresa;
• Respostas mais ágeis a demandas internas e externas;
• Controle direto sobre a execução do Programa de Governança.

Vantagens de terceirizar um DPO as a Service

• Redução de custos com salários e encargos trabalhistas (o salário médio de um DPO no Brasil gira em torno de R$ 19.689,00);
• Economia com certificações e treinamentos, que são indispensáveis para manter a qualificação do profissional;
• Maior neutralidade, evitando conflitos de interesse dentro da organização;
• Acesso a uma equipe multidisciplinar especializada.

A escolha entre um DPO interno ou terceirizado deve levar em conta a complexidade dos dados tratados, o orçamento disponível e a maturidade da empresa em relação à LGPD.

Qual é a importância do DPO na adequação à LGPD?

Como visto, o DPO é peça-chave para a efetividade de um Programa de Governança em Privacidade de Dados. É ele, na realidade, o verdadeiro termômetro do nível de maturidade da organização em relação ao tema.

O DPO, do mesmo modo, exerce um importante papel no atendimento de pleitos dos titulares de dados pessoais, servindo como um ponto de contato entre as partes interessadas e a organização. Caberá ao DPO, ainda, prestar esclarecimentos, adotar providências e receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD).

O seu principal papel, portanto, está, justamente, na orientação dos colaboradores a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e à segurança da informação, uma vez que a capacitação e o treinamento são imprescindíveis para o sucesso do Programa de Governança em Privacidade de Dados.

Nesse contexto, o DPO pode ser visto como o maestro, que ditará o ritmo das ações e das medidas necessárias para consolidação e manutenção de um efetivo Programa de Governança em Privacidade.

Mais do que uma obrigação imposta pela LGPD, o DPO é um pilar essencial para a privacidade e segurança de dados dentro das organizações.

Além de garantir a conformidade com a legislação, esse profissional fortalece a cultura de proteção de dados, orienta a equipe e reduz os riscos de sanções da ANPD.

Seja um profissional interno ou um DPO as a Service, investir nessa função traz benefícios diretos para a credibilidade e competitividade da empresa no mercado digital.