Neste artigo, vamos entender se startups precisam de DPO e o que a Autoridade Nacional de Proteção de Dados – ANPD já disse sobre o assunto.
Entre tantas obrigações impostas pela Lei Geral de Proteção de Dados (LGPD) está a indicação de um “encarregado pelo tratamento de dados pessoais”.
Esse é o nome dado no Brasil para o DPO (Data Protection Officer).
Felizmente, para algumas empresas, essa exigência é dispensada na Resolução nº 2 de 2022, publicada pela Autoridade Nacional de Proteção de Dados (ANPD).
A Resolução nº 2 da ANPD cria regras de flexibilização para empresas que são consideradas “agentes de tratamento de pequeno porte”.
A maioria das startups em early stage se enquadram nesse “pequeno porte” no cadastro de CNPJ.
Muito embora o termo “pequeno porte” possa levar à interpretação de que basta o enquadramento como empresa de pequeno porte (EPP) ou microempresa para não precisar de um DPO, isso não é sempre verdade.
É bem possível que, mesmo se tratando de um negócio em early stage e/ou com faturamento modesto, sua startup ainda precise nomear um DPO.
Vamos te explicar como identificar essas situações para que você não seja pego de surpresa.
Critérios para identificar se sua startup precisa de DPO
O art. 3º da Resolução que mencionamos acima prevê algumas hipóteses onde as flexibilizações previstas (incluindo a dispensa de nomeação de encarregado) não se aplicam.
Uma dessas hipóteses – ATENÇÃO AQUI – se aplica para empresas que “realizem tratamento de alto risco para os titulares”.
E como saber o que é considerado “alto risco”?
Será considerado de alto risco o tratamento em larga escala, ou aquele que possa afetar significativamente interesses e direitos fundamentais dos titulares dos dados, por meio de:
- Uso de tecnologias emergentes ou inovadoras;
- Vigilância ou controle de zonas acessíveis ao público;
- Decisões tomadas unicamente com base em tratamento automatizado de dados pessoais;
- Utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
Pense em casos como healthtechs, fintechs, edtechs ou até mesmo aquelas soluções baseadas em utilização de inteligência artificial.
Se sua startup se enquadrar em um desses cenários, considerados tratamentos de dados de alto risco, você ainda precisará nomear um DPO para estar em conformidade com a LGPD.
Se você ainda não entendeu os riscos de não estar adequado à LGPD, confira estes dois artigos publicados em nosso blog:
As startups precisam se adequar à LGPD?
Por que a LGPD pode ser decisiva para a captação de investimentos
Afinal, o que faz um Encarregado (DPO)?
Caso você ainda não saiba, o Encarregado é o responsável por atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Nossa equipe destacou outras funções do DPO neste artigo aqui.
Até o momento em que publicamos este texto, não é exigida nenhuma certificação específica para desempenhar essa função, podendo, inclusive, ser alguém do time interno da empresa.
O essencial é que esse colaborador tenha conhecimento sobre o tema e que não haja conflito de interesses.
Como podemos ajudar?
Na SAFIE, auxiliamos sua empresa a identificar se a nomeação do DPO é mesmo necessária.
Caso positivo, também ajudamos você a definir as características necessárias para a escolha do colaborador adequado para desempenhar essa função internamente, com base na sua realidade e estrutura.
Além disso, a SAFIE dá todo o suporte técnico ao encarregado pelo tratamento de dados no desempenho das suas atividades, incluindo na resposta a solicitação de titulares de dados e entidades fiscalizadoras como a ANPD.
Agende uma reunião com nossos especialistas e saiba mais.
