DPO na LGPD: entenda seu significado e papel

Saiba qual é o significado de DPO (Data Protection Officer) na LGPD

O DPO (Data Protection Officer), também conhecido como Encarregado pelo Tratamento de Dados Pessoais, é o principal responsável por manter a conformidade das organizações com a LGPD, sendo considerado o verdadeiro guardião do Programa de Governança em Privacidade.

Segundo a Lei Geral de Proteção de Dados Pessoais (LGPD), o DPO deve ser uma pessoa, natural ou jurídica, indicada pelo controlador, para atuar, principalmente, como um canal de comunicação entre o agente de tratamento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Por esses motivos, toda e qualquer organização que realize tratamento de dados pessoais, independentemente do seu porte, mercado de atuação ou modelo de negócio, deverá nomear um DPO

Entenda o papel do DPO na LGPD

Segundo a LGPD, cabe ao DPO:

Além disso, como já tivemos a oportunidade de falar em outro post, o DPO deve, também:

• Formular regras de boas práticas para o bom funcionamento do Programa de Governança de Privacidade;
• Garantir a aplicação e a eficácia dos 10 princípios da LGPD para o tratamento de dados pessoais;
• Elaborar o mapeamento do ciclo de vida dos dados pessoais;
• Determinar e documentar a base legal utilizada para o tratamento de dados pessoais;
• Avaliar as atividades que geram riscos à organização e aos titulares de dados;
• Entender quais são as normas aplicáveis à empresa;
• Definir as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais;
• Monitorar a conformidade da organização com a LGPD;
• Elaborar Registros das Operações de Tratamento de Dados Pessoais e Relatórios de Impacto de Proteção de Dados Pessoais;
• Realizar treinamentos e capacitações aos colaboradores;
• Auxiliar na condução de incidentes de segurança da informação.

Como se vê, o DPO possui um papel fundamental na adequação das organizações à LGPD. É ele o principal responsável por fazer a adequada gestão do Programa de Governança em Privacidade e por orientar os colaboradores e demais partes interessadas a respeito das práticas a serem tomadas em relação à privacidade, proteção de dados pessoais e à segurança da informação.

Nesse contexto, o DPO pode ser visto como o maestro, que ditará o ritmo das ações e das medidas necessárias para consolidação e manutenção de um efetivo Programa de Governança em Privacidade.

O que é preciso para ser um DPO na LGPD

Para ser um DPO é preciso ter, basicamente, competências, habilidades e atitudes para desempenhar a função! Não é necessária qualquer certificação ou formação!

O mais importante é ter uma visão global da organização e ter conhecimentos multidisciplinares. Lembre-se de que o DPO é construtor de pontes, não de muros.

É preciso, também, que a organização defina alguns pontos, tais como se:

De um modo em geral, portanto, para ser um DPO é necessário se ter não apenas conhecimentos específicos nas áreas de proteção de dados e segurança da informação, mas uma compreensão ampla do contexto da organização e das legítimas expectativas das partes interessadas.

Conheça as vantagens e as diferenças entre o DPO e o DPO as a Service

De uma maneira simples, o DPO é a pessoa natural responsável por exercer essa função dentro de uma organização. O DPO as a Service, por sua vez, nada mais é do que o DPO terceirizado responsável pelas mesmas atribuições.

Nesse contexto, podemos elencar algumas vantagens e diferenças em se internalizar e/ou terceirizar a função de DPO

A principal vantagem em se internalizar a função de DPO encontra-se, justamente, no fato de que o responsável ou o Comitê multidisciplinar terão pleno conhecimento das “dores” da organização, podendo, em tese, resolvê-las de maneira mais célere.

Terceirizar essa função por meio de um DPO as a Service, de outro modo, possui outras vantagens. Dentre elas, podemos mencionar, principalmente, a redução considerável de:

Custos salariais e de encargos trabalhistas

Este ponto é extremamente sensível à organização. Segundo alguns sites especializados, a média salarial para  esse tipo de profissional no Brasil é de R$ 19.689,00, o que pode, inclusive, em alguns casos, inviabilizar a sua internalização, em razão dos custos salariais e encargos trabalhistas envolvidos.

Gastos com certificações, capacitações e treinamento de colaboradores

Não há como internalizar a função de DPO sem refletir em gastos com certificações, capacitações e treinamento de colaboradores. Por ser uma função que exige um conhecimento altamente especializado é inevitável para as organizações arcar com esses custos.

Conflitos de interesse porventura existentes dentro da organização

É claro que o simples fato de se ter um DPO não afasta, por si só, possíveis conflitos de competência. A nomeação de um DPO as a service, contudo, auxilia e muito a evitar essa situação, em especial, porque não envolve, diretamente, nenhuma parte interessada de dentro da organização.

Descubra os 3 passos necessários para o DPO adequar a sua organização de acordo com a LGPD

Como já tivemos a oportunidade de escrever, há 3 passos essenciais para o DPO implementar os requisitos exigidos pela LGPD.

Primeiro Passo: entender o contexto da organização

Antes de mais nada, é preciso entender o contexto da organização, conhecer as principais partes interessadas, formar o time de privacidade e sensibilizar os colaboradores.

É que sem engajar a todos, a LGPD torna-se apenas mais uma ferramenta burocrática dentro da organização. E lembre-se: não há um modelo único, por isso é necessário ter visão acerca das principais obrigações de compliance que a empresa, mandatoriamente ou voluntariamente, precisa cumprir.

Nessa fase, por exemplo, você pode definir quais serão as pessoas diretamente envolvidas com o projeto, levantar as principais preocupações da organização em relação ao tema e promover palestras de sensibilização na sua empresa.

Não se esqueça, também, de ter bem clara a definição de papéis e responsabilidades, especialmente, em relação ao exercício da função de encarregado pelo tratamento de dados pessoais.

Segundo Passo: realizar a avaliação de riscos de compliance

Este passo vai exigir de você um pouco mais de tempo, esforço e conhecimento técnico, em razão da necessidade de se buscar as principais fontes de riscos ligados à proteção de dados pessoais e segurança da informação dentro da sua empresa.

A avaliação de riscos de compliance envolve as etapas de identificação, análise, avaliação, tratamento e comunicação dos riscos, por meio da análise de documentos e realização de entrevistas pessoais com os pontos focais da organização.

É nessa fase também que você deve fazer o mapeamento do ciclo de vida dos dados pessoais da sua organização, com o objetivo de entender como ocorre a coleta, o processamento e o arquivamento de dados pessoais dentro da sua empresa.

Como se percebe, este é um passo fundamental para o sucesso do compliance dentro da sua empresa.

Terceiro Passo: implementação dos planos de ação

O terceiro passo corresponde à implementação dos planos de ação levantados na etapa anterior. É chegada a hora de “botar a mão na massa”, para dar início à elaboração da Política de Privacidade, da Política de Segurança da Informação e à adequação dos processos e procedimentos relacionados.

Por fim, e não menos importante, você deve realizar treinamentos e capacitações a todas as partes interessadas, com o objetivo de engajar cada vez mais as pessoas responsáveis pelo dia-a-dia da sua empresa.

Conclusão: nomeie um DPO e adeque-se à LGPD

Como visto, a nomeação de um DPO é essencial para implementação de um Programa de Governança de Privacidade efetivo.

Assim, ter um DPO não é apenas por seu uma obrigação legal, mas, uma verdadeira oportunidade de melhoria da cultura organizacional.