DPO: entenda a sua importância na adequação à LGPD

DPO ou Encarregado pelo Tratamento de Dados Pessoais?

Antes mesmo de conhecer a importância do DPO na adequação à LGPD, é preciso esclarecer que os termos DPO ou Encarregado pelo Tratamento de Dados Pessoais são expressões sinônimas.

É importante destacar, ainda, que a função de Data Protection Officer (DPO) não foi criada pela Lei Geral de Proteção de Dados Pessoais (LGPD), nem, tampouco, pelo Regulamento Geral sobre Proteção de Dados da União Europeia (GDPR). Ela, na realidade, já se encontrava prevista na Diretiva 95/46/CE, ainda que de forma tímida e ainda muito simplificada.

Sob essa ótica, a própria ISO 27701, que trata sobre os requisitos e diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI), faz a seguinte ressalva no item 6.3.1.1 (Responsabilidades e papéis da segurança da informação): Convém que a organização designe um ponto de contato para ser usado pelo cliente, em relação ao tratamento de Dados Pessoais. Esta pessoa é chamada de “Data Protection Officer” em algumas jurisdições. Na legislação brasileira, esta pessoa é chamada de Encarregado de Proteção de Dados

A LGPD, por sua vez, definiu que o DPO ou o Encarregado pela Proteção de Dados Pessoais deveria ser uma pessoa, natural ou jurídica, indicada pelo controlador, para atuar, principalmente, como um canal de comunicação entre o agente de tratamento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), de modo que toda e qualquer organização que realize tratamento de dados pessoais, independente do seu porte, mercado de atuação ou modelo de negócio, deverá ter um DPO ou um Encarregado pelo Tratamento de Dados Pessoais devidamente indicado, seja ele um colaborador do seu quadro ou uma pessoa jurídica terceirizada, também conhecida por DPO as a Service.

Assim, enquanto não houver uma regulamentação específica pela Autoridade Nacional de Proteção de Dados (ANPD), permanecerá obrigatória a nomeação de um DPO, para toda empresa pública ou privada que realize algum tipo de tratamento de dados pessoais.

Nesse contexto, não há dúvidas de que é possível utilizarmos as expressões DPO ou Encarregado pelo Tratamento de Dados Pessoais como sinônimos.

Entenda o papel e as funções do DPO na LGPD

A importância do DPO na adequação à LGPD passa, necessariamente, pelo exercício de algumas atividades.

Segundo o art. 41, compete ao Encarregado pelo Tratamento de Dados Pessoais:

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da autoridade nacional e adotar providências;
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

À luz, contudo, da prática observada em diversas organizações que já deram início à implementação de seus Programas de Governança em Privacidade de Dados, o DPO também exercer inúmeras outras funções, tais como:

• Formular regras de boas práticas para o bom funcionamento do Programa de Governança de Privacidade;
• Garantir a aplicação e a eficácia dos 10 princípios da LGPD para o tratamento de dados pessoais;
• Elaborar o mapeamento do ciclo de vida dos dados pessoais;
• Determinar e documentar a base legal utilizada para o tratamento de dados pessoais;
• Avaliar as atividades que geram riscos à organização e aos titulares de dados;
• Entender quais são as normas aplicáveis à empresa;
• Definir as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais;
• Monitorar a conformidade da organização com a LGPD;
• Elaborar Registros das Operações de Tratamento de Dados Pessoais e Relatórios de Impacto de Proteção de Dados Pessoais;
• Realizar treinamentos e capacitações aos colaboradores;
• Auxiliar na condução de incidentes de segurança da informação.

Nesse sentido, o Regulamento Geral sobre Proteção de Dados da União Europeia (GDPR) foi ainda mais analítico do que a LGPD, entendendo que cabe ao DPO as seguintes atribuições:

• Informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações;
• Controlar a conformidade com o GDPR, com outras disposições de proteção de dados e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
• Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização;
• Cooperar com a autoridade de controle;
• Ser o ponto de contato para a autoridade de controle, sobre questões relacionadas com o tratamento de dados pessoais

Como se percebe, o DPO possui uma essencial importância na adequação à LGPD.

Quais são as competências e as habilidades necessárias de um DPO na LGPD?

Antes de mais nada, é preciso esclarecer que a LGPD não definiu competências e habilidades necessárias para o exercício da função de DPO. O Regulamento Geral sobre Proteção de Dados da União Europeia (GDPR), de outro modo, previu que o DPO deveria ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções.

Como se viu, o DPO ou o Encarregado pelo Tratamento de Dados Pessoais é o profissional responsável por realizar a gestão do Programa de Governança em Privacidade de Dados. Por essa razão é essencial que ele tenha conhecimentos nas áreas de proteção de dados pessoais, segurança da informação e em controles trazidos pela ISO 27001 e ISO 27701. Espera-se, ainda, que o DPO ou o Encarregado pelo Tratamento de Dados Pessoais monitore constantemente as novas regulamentações e determinações trazidas pela ANPD sobre o tema.

Como já tivemos a oportunidade de escrever, é muito importante que o DPO tenha algum tipo de experiência na implementação de programas de governança em privacidade e que possa ter em seus quadros uma equipe com formação em diversas áreas do conhecimento. Além disso, é de extrema importância que o DPO demonstre uma habilidade de liderança muito grande, afinal ele será o responsável pela propositura dos planos de ação e o verdadeiro guia para adequação à LGPD.

Assim, antes de se designar um DPO é importante que a organização defina algumas questões, tais como se:

1. A função de DPO será exercida por uma única pessoa ou por um Comitê multidisciplinar;
2. O DPO exercerá exclusivamente essa função ou se irá acumular com outras;
3. É possível assegurar ao DPO, na prática, a sua autonomia e independência funcional;
4. É vantajoso, do ponto de vista financeiro, internalizar ou terceirizar essa função;
5. O responsável possui competências, habilidades e perfil para exercer a função de DPO.

Nesse contexto, é de suma importância evitar situações que possam expor a organização a possíveis conflitos de interesse ou que, porventura, possam dificultar a atuação do DPO pelo acúmulo ou excesso de funções.

DPO: internalizar ou terceirizar?

Desde já, adiantamos que não há uma resposta certa para essa pergunta. Na realidade, vai depender muito do contexto da organização, do seu modelo de negócio e, acima de tudo, de ter pessoas com competências, habilidades e atitudes, para exercer essa função.

A principal vantagem em se internalizar a função de DPO encontra-se, justamente, no fato de que o responsável ou o Comitê multidisciplinar terão pleno conhecimento das “dores” da organização, podendo, em tese, resolvê-las de maneira mais célere.

Terceirizar essa função por meio de um DPO as a Service, por sua vez, possui outras vantagens. Dentre elas, podemos mencionar, principalmente, a redução considerável de:

Custos salariais e de encargos trabalhistas

Este ponto é extremamente sensível à organização. Segundo alguns sites especializados, a média salarial para  esse tipo de profissional no Brasil é de R$ 19.689,00, o que pode, inclusive, em alguns casos, inviabilizar a sua internalização, em razão dos custos salariais e encargos trabalhistas envolvidos.

Gastos com certificações, capacitações e treinamento de colaboradores

Não há como internalizar a função de DPO sem refletir em gastos com certificações, capacitações e treinamento de colaboradores. Por ser uma função que exige um conhecimento altamente especializado é inevitável para as organizações arcar com esses custos.

Conflitos de interesse porventura existentes dentro da organização

É claro que o simples fato de se ter um DPO não afasta, por si só, possíveis conflitos de competência entre o contratante-controlador e o contrato. A nomeação de um DPO as a service, contudo, auxilia e muito a evitar essa situação, em especial, porque não envolve, diretamente, nenhuma parte interessada.

Mas, afinal, qual é a importância do DPO na adequação à LGPD?

Como visto, o DPO é peça-chave para a efetividade de um Programa de Governança em Privacidade de Dados. É ele, na realidade, o verdadeiro termômetro do nível de maturidade da organização em relação ao tema.

O DPO, do mesmo modo, exerce um importante papel no atendimento de pleitos dos titulares de dados pessoais, servindo como um ponto de contato entre as partes interessadas e a organização. Caberá ao DPO, ainda, prestar esclarecimentos, adotar providências e receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD).

O seu principal papel, portanto, está, justamente, na orientação dos colaboradores a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e à segurança da informação, uma vez que a capacitação e o treinamento são imprescindíveis para o sucesso do Programa de Governança em Privacidade de Dados.

Nesse contexto, o DPO pode ser visto como o maestro, que ditará o ritmo das ações e das medidas necessárias para consolidação e manutenção de um efetivo Programa de Governança em Privacidade.

Conclusão: ter um DPO não é apenas uma obrigação legal, mas uma verdadeira oportunidade

Ter um DPO não é apenas por uma obrigação legal, mas, uma verdadeira oportunidade de melhoria da cultura organizacional relacionada ao tema. É que o Encarregado pelo Tratamento de Dados Pessoais é, de fato, o guardião da efetividade do Programa de Governança em Privacidade de Dados.

Daí, o porquê de concluirmos que o DPO deve ser visto como uma figura muito além de um simples atendimento a um requisito legal.