Vamos falar sobre DPO e como saber se minha empresa precisa? Há menos de dois meses do início das sanções da LGPD para empresas que não tratam adequadamente os dados pessoais de clientes e usuários, eu espero que não reste nenhum empresário que não tenha ouvido falar desta lei.

Contudo, saber que a lei existe e que você precisa proteger os dados pessoais que sua empresa coleta não é suficiente. É necessário conhecer o DPO e saber como minha empresa precisa.

O processo de adequação de uma empresa à LGPD é longo e deve ser feito de forma cuidadosa, pois a lei trouxe diversas exigências.

Uma delas foi a criação da figura do Encarregado de Dados, ou Data Protection Officer (DPO), para usar a sigla do cargo correspondente criado pela GDPR (Lei de proteção de dados europeia) em 2018.

Nunca ouviu falar em Encarregado de Dados e muito menos sabe se a sua empresa precisa de um?

Vamos te explicar aqui tudo o que você precisa saber.

O que é um DPO?

O DPO, que, no Brasil, é chamado de Encarregado de Dados, foi um cargo criado pela GDPR e replicado, com atribuições bem parecidas, pela LGPD, no artigo 5º, VIII.

Art , 5º, VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

Em resumo, o DPO é o responsável, dentro de uma empresa, por tudo o que envolva os dados pessoais tratados por aquela empresa, e deverá atuar como intermediário entre os titulares e também a ANPD.

O DPO deverá ser uma pessoa treinada e com amplo conhecimento da LGPD e da tecnologia da informação, pois será responsável por garantir a proteção de dados pessoais dentro do negócio, supervisionando e sugerindo mudanças.

Além disso, em casos de incidentes envolvendo dados pessoais, o DPO é o responsável por comunicar os titulares, a ANPD e coordenar o processo de investigação do incidente e a mitigação dos danos.

A LGPD também elencou como obrigações do DPO aceitar reclamações e sugestões dos titulares, prestar esclarecimentos e adotar providências, receber as comunicações da ANDP e orientar os funcionários da empresa.

É interessante mencionar que, apesar de pela definição parecer que o encarregado somente poderá ser um funcionário dentro da empresa, essa função pode ser terceirizada e exercida por empresas. Ou seja, o DPO e saber se minha empresa precisa é fundamental.

Qual a importância do DPO para a proteção de dados pessoais?

Acho que depois de explicar o que é um DPO, a sua importância fica clara.

O DPO é o profissional responsável por assegurar o cumprimento da legislação e assegurar boas práticas de proteção de dados dentro de uma organização.

As informações do encarregado de dados deverão ser públicas e divulgadas pela empresa, para facilitar a comunicação direta dos titulares e da Agência Nacional, e criar um canal de comunicação com esses entes.

Assim, qualquer interessado em fazer valer seus direitos enquanto titular de dados poderá contatar diretamente o DPO, que deverá ser capacitado para responder aos questionamentos e atender às solicitações dos titulares.

Por exemplo, se uma empresa trata algum dado pessoal com base exclusivamente no consentimento, e o titular quiser revogar este consentimento para encerrar o tratamento de dados, deverá entrar em contato com o DPO apontado.

[Não sabe o que é base legal para o tratamento de dados pessoais e revogação do consentimento? Neste artigo aqui a gente te explica!]

DPO e como saber se minha empresa precisa: isso significa que o encarregado de dados deverá ter as atribuições para resolver todas as demandas do titular?

Não. Nada impede que ele delegue as funções ao departamento responsável, como o de TI, por exemplo.

Mas sim, o DPO deverá saber o que deve ser feito para que a solicitação do titular ou da ANDP seja atendida, de acordo com as especificações da LGPD.

O DPO também é o agente responsável por fiscalizar, treinar e orientar todos os setores de uma empresa quanto ao tratamento de dados pessoais.

Isso porque a proteção de dados, para ser efetiva, precisa tornar-se uma cultura empresarial, conhecida e praticada por todos os setores da organização.

Não adianta nada ter um DPO especialista em LGPD se os outros setores não têm nem ideia do que precisa ser feito para assegurar a proteção de dados pessoais desde que a empresa realiza a coleta.

Por isso, o DPO deve fiscalizar, promover treinamentos e assegurar que todos os colaboradores estão cientes de que a proteção de dados não é opcional e não pode ser negligenciada.

De fato, podemos dizer que o encarregado de dados deve ser a representação da LGPD dentro da sua empresa.

No entanto, é importante ressaltar: o DPO não dá ordens, apenas sugere. Afinal, quem toma decisões sobre o tratamento de dados pessoais é o controlador, e o DPO não é controlador.

DPO e como saber se minha empresa precisa? A sua empresa precisa de um DPO?

Resposta rápida? Provavelmente sim.

A LGPD estabeleceu que os controladores deverão nomear um DPO, responsável pela proteção de dados dentro da empresa.

Contudo, a LGPD também trouxe a disposição de que algumas organizações podem ser dispensadas da nomeação de um encarregado de dados, desde que haja resolução da ANPD que estabeleça exceções.

Como tal resolução ainda não existe, a princípio, todas as organizações que atuam como controladores de dados, pelas regras da LGPD, deverão nomear um DPO.

Em empresas menores e startups, o DPO pode ser um funcionário que receberá treinamento específico para essa função, mas que também tenha outras atribuições não relacionadas à proteção de dados dentro da empresa.

A LGPD é omissa quanto ao acúmulo de funções por parte do encarregado de dados, então, a empresa somente poderá ser responsabilizada caso as funções regulares do DPO impeçam sua atuação independente como encarregado de dados.

Mas, em regra, sendo o DPO capaz de acumular essa função com suas atribuições regulares sem impedimento, não há prejuízo no acúmulo de funções.

Até mesmo porque, empresas que não tratam um grande volume de dados provavelmente não têm a necessidade de um encarregado de dados à disposição somente para esta função.

Em grandes empresas que tratam grandes volumes de dados pessoais, por outro lado, deve-se considerar a contratação de um DPO exclusivo, ou até mesmo de uma empresa que preste serviços de encarregado de dados.

Dado a importância que o DPO tem dentro de uma empresa, a exigência legal de sua nomeação e as sanções que a organização pode sofrer caso a LGPD não seja observada e cumprida, essa função não pode ser negligenciada.

DPO capacitado, empresa tranquila

Como mencionei já neste texto, a proteção de dados é cultura.

É necessário que todos os setores da empresa estejam, a todos os momentos, observando e cuidando da privacidade dos dados pessoais a que tenham acesso no exercício de suas funções.

O DPO é um meio para começar a plantar as sementinhas da cultura da privacidade dentro de sua organização.

Com um DPO capacitado, ciente de suas atribuições, e comprometido com a privacidade, sua empresa estará sempre sendo monitorada por dentro, e problemas maiores poderão ser evitados pelo seu próprio DPO.

Assim, não há como negar a importância da figura do DPO no processo de adequação de uma empresa à LGPD.

Neste texto, eu te dei dicas essenciais para escolher um DPO, interno ou externo, e assegurar que ele receba o melhor treinamento possível.

Afinal, as sanções da LGPD vão começar.

Privacidade não é mais só uma escolha. A saúde do seu negócio depende disso.

Quer saber mais? Entre em contato com o nosso time, que podemos te ajudar a buscar sua segurança jurídica.