DPO as a service: entenda o que é, por que contratar e quais as vantagens

Saiba o que é e para que serve o DPO as a service

Antes de falarmos propriamente sobre o DPO as a service, é muito importante que você entenda o conceito de DPO.

A função de Data Protection Officer (DPO) não foi criada pela Lei Geral de Proteção de Dados Pessoais (LGPD), nem, tampouco, pelo Regulamento Geral sobre Proteção de Dados da União Europeia (GDPR). Ela, na realidade, já se encontrava prevista na Diretiva 95/46/CE, ainda que de forma tímida e ainda muito simplificada.

A LGPD, por sua vez, definiu que o DPO ou o Encarregado pela Proteção de Dados Pessoais deveria ser uma pessoa, natural ou jurídica, indicada pelo controlador, para atuar, principalmente, como um canal de comunicação entre o agente de tratamento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Mas, afinal, o que é e para que serve o DPO as a service?

O DPO as a service é um serviço oferecido por algumas empresas, com o objetivo de terceirizar o responsável pelo exercício dessa função na sua organização. No lugar de contratar uma pessoa para o quadro de funcionários da empresa, você o substitui por uma pessoa externa a ele. É, em outras palavras, a terceirização do DPO.

O DPO as a service serve, portanto, não apenas para demonstrar conformidade à LGPD, como, também, para buscar um apoio permanente especializado em relação à adequação e à implementação do Programa de Governança em Privacidade pela sua empresa.

Cabe destacar, ainda, que a nomeação de um DPO ou de um DPO as a service é obrigatória, ao menos, até que ANPD venha a regulamentar as hipóteses de dispensa.

Confira quais são as principais atribuições do DPO as a service

A LGPD definiu que o DPO ou o DPO as a service são responsáveis por:

• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade nacional e adotar providências;
• orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
• executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Entendemos, também, que o Encarregado pela Proteção de Dados Pessoais, interno ou externo, deve exercer as seguintes atividades:

• formular regras de boas práticas para o bom funcionamento do Programa de Governança de Privacidade;
• garantir a aplicação e a eficácia dos 10 princípios da LGPD para o tratamento de dados pessoais;
• elaborar o mapeamento do ciclo de vida dos dados pessoais;
• determinar e documentar a base legal utilizada para o tratamento de dados pessoais;
• avaliar as atividades que geram riscos à organização e aos titulares de dados;
• entender quais são as normas aplicáveis à empresa;
• definir as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais;
• monitorar a conformidade da organização com a LGPD;
• elaborar Registros das Operações de Tratamento de Dados Pessoais e Relatórios de Impacto de Proteção de Dados Pessoais;
• realizar treinamentos e capacitações aos colaboradores;
• auxiliar na condução de incidentes de segurança da informação.

Como se vê, há inúmeros aspectos que o DPO as a service deve estar atento, cabendo às organizações terem bastante cuidado antes de realizarem a sua contratação.

Habilidades e competências de um DPO as a service

Em que pese a LGPD não exigir, expressamente, competências específicas para o exercício da função de DPO as a service, é muito importante que ele conte, pelo menos, com as seguintes habilidades:

Além disso, é muito importante que o DPO as a service tenha algum tipo de experiência na implementação de programas de governança em privacidade e que possa ter em seus quadros uma equipe com formação multidisciplinar.

É de extrema importância, também, que o DPO demonstre uma habilidade de liderança muito grande, afinal ele será o responsável pela propositura dos planos de ação e o verdadeiro guia para adequação à LGPD.

Destacamos, do mesmo, a necessidade de se garantir ao DPO as a service a necessária independência funcional e operacional, para o desempenho do seu mister, como, por exemplo, por meio do fornecimento de recursos técnicos ou humanos necessários para que ele possa bem gerir o Programa de Governança de Privacidade.

Além disso, é essencial que o contrato de prestação de serviço forneça o job description, faça menção ao plano de trabalho e delimite muito bem as entregas. Lembre-se de que o DPO as a service deve agir proativamente e não apenas de maneira reativa.

Não se esqueça, ainda, de definir, contratualmente, a responsabilidade da organização e do DPO as a service no caso, por exemplo, de incidentes de segurança da informação, não conformidades ou danos causados a seus titulares.

Por fim, apesar de ser muito importante, não há qualquer exigência legal de certificação para que o DPO possa desempenhar as suas funções, servindo ela tão somente como manifestação ou meio de uma “prova social”.

Conheça 3 vantagens em se contratar o DPO as a service

Há inúmeras vantagens em se contratar um DPO as a service e terceirizar a função de Encarregado pela Proteção de Dados Pessoais. Dentre elas, podemos mencionar, principalmente, a redução considerável de:

1. Custos salariais e de encargos trabalhistas

Este ponto é extremamente sensível à organização. Segundo alguns sites especializados, a média salarial para  esse tipo de profissional no Brasil é de R$ 19.689,00, o que pode, inclusive, em alguns casos, inviabilizar a sua internalização, em razão dos custos salariais e encargos trabalhistas envolvidos.

2. Gastos com certificações, capacitações e treinamento de colaboradores

Não há como internalizar a função de DPO sem refletir em gastos com certificações, capacitações e treinamento de colaboradores. Por ser uma função que exige um conhecimento altamente especializado é inevitável para as organizações arcar com esses custos.

3. Conflitos de interesse porventura existentes dentro da organização

É claro que o simples fato de se ter um DPO não afasta, por si só, possíveis conflitos de competência entre o contratante-controlador e o contrato. A nomeação de um DPO as a service, contudo, auxilia e muito a evitar essa situação, em especial, porque não envolve, diretamente, nenhuma parte interessada.

Conclusão: contrate um DPO as a service especializado

 Como se viu, o DPO é o verdadeiro pilar do seu Programa de Governança de Privacidade, sendo considerado o profissional responsável por avaliar, treinar e monitorar a conformidade das atividades de tratamento de dados pessoais dentro da organização.

Por essa razão, entendemos que o DPO as a service é um importante aliado na jornada de adequação à LGPD. E lembrem-se: a terceirização é da função e não da responsabilidade da organização em tutelar adequadamente o tratamento dos dados pessoais.