Com a implementação do Regulamento Geral da Proteção de Dados (GDPR) na Europa e da Lei Geral de Proteção de Dados (LGPD) no Brasil, as empresas que lidam com dados pessoais e sensíveis precisam se precaver para evitar a exposição e o vazamento dos mesmos.
Para tanto, é imprescindível ficar atento às responsabilidades do DPO — Data Protection Officer —, profissional cuja função é garantir que as organizações processem informações pessoais de acordo com as regras estipuladas.
A nomeação desse profissional é obrigatória e a forma como ele atua pode beneficiar ou prejudicar a companhia, visto que ele cumpre o papel de manter a proteção de dados pessoais de clientes, equipe e provedores que são captados, tratados e que circulam pela empresa.
Quer assegurar a legalidade das suas atividades? Confira, neste post, tudo o que você deve saber sobre o DPO!
O que é DPO?
A profissão de DPO ganhou destaque por meio da instituição do GDPR que, no artigo 37º, determina como obrigatória a sua presença em todas as empresas que manipulam dados pessoais.
Em suma, esse profissional é um especialista na proteção de dados, que atua no monitoramento da organização para assegurar que ela esteja em compliance, ou seja, cumprindo as regras e boas práticas impostas para o setor. Além disso, ele também intermedia os interesses entre a empresa e os titulares dos dados.
Quais são as responsabilidades do DPO?
É fundamental compreender com clareza quais são as atividades a serem executadas pelo DPO, do contrário, a sua empresa fica suscetível a erros e vazamentos de dados que podem gerar multas altíssimas para o seu negócio. Entenda quais são as responsabilidades do DPO segundo o GDPR e a LGPD.
Responsabilidades do DPO conforme o GDPR
O artigo 37º do GDPR afirma que o DPO é necessário quando órgãos ou autoridades públicas (exceto tribunais) e empesas tratem dados especiais e sensíveis, como informações sobe religião, etnia e condenações penais, ou realizem monitoramento em larga escala.
No artigo 39º, você encontra como definição das tarefas do DPO:
- dar informações e aconselhar o colaborador responsável por tratar dados e demais funcionários sobre as normas do GDPR a serem cumpridas;
- promover o controle e conformidade com os termos do GDPR, bem como com as políticas do responsável pela manipulação e tratamento dos dados, o que inclui a definição de responsabilidades, conscientização e capacitação do pessoal;
- aconselhar, quando solicitado, sobre a avaliação do impacto na proteção de dados, além de acompanhar a performance do processo;
- colaborar com as autoridades;
- atuar como uma ponte existente entre a empresa e a autoridade de supervisão em temas ligados ao tratamento de dados.
Responsabilidades do DPO conforme a LGPD
O texto da LGPD traz funções específicas para o DPO. De acordo com o artigo 41º, no parágrafo 2º, as tarefas desse profissional são:
- receber reclamações e se comunicar com titulares dos dados, a fim de dar esclarecimentos e tomar providências;
- aceitar as comunicações da autoridade nacional e adotar providências;
- prestar orientações aos colaboradores e contratados da instituição sobre as práticas a serem executadas para seguir a LGPD;
- realizar as atribuições previstas pelo controlador ou determinadas pelas normas complementares.
Vale ressaltar que o parágrafo 3º também prevê que “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.
Isso significa que as tarefas do DPO podem variar, sendo adaptadas ou excluídas em decorrência das características da empresa.
Com base nas descrições do GDPR e da LGPD, nota-se que as responsabilidades são parecidas, focando esforços no monitoramento, fiscalização e orientação, além de criar uma ponte entre os titulares das informações e as organizações.
Por que as empresas precisam de um DPO?
Em seu texto, a LGPD não distinguiu ou apresentou hipóteses de dispensas sobre obrigatoriedades da designação de um DPO. Por isso, todas as empresas que tratam dados pessoais, independente do seu porte, precisam contar com esse profissional.
Como a obrigação de indicar um DPO está prevista em lei, as empresas que não seguirem essa determinação estão sujeitas a sofrerem penalidades, que se intensificam de acordo com o erro cometido pela companhia. Assim, a organização pode desde receber uma advertência e passar pela publicização da infração, até fazer a aplicação de multas, fixas ou diárias, com valor máximo de 50 milhões de reais.
Quem pode ser indicado ao cargo de DPO?
Muitas empresas têm tido dúvidas sobre quem é o melhor profissional para assumir o cargo de DPO. Nesse sentido, saiba que o encarregado poderá ser qualquer profissional, sendo que geralmente os escolhidos são da área de Tecnologia da Informação (TI) ou jurídica. Porém, muitos especialistas não aconselham que sejam os profissionais do seu próprio departamento interno de (TI), visto que há conflitos de interesses, justamente pelo fato de que o DPO tem dentro de suas funções auditar a atuação da área de TI no tratamento de dados pessoais, ou seja, ele mesmo poderá auditar a sua própria conduta no tratamento dos dados. Neste caso um DPO pode ser uma pessoa física (PF) ou jurídica (PJ).
Para a LGPD, o DPO não precisa obrigatoriamente ter conhecimento jurídico regulatório. Todavia, é essencial associar essas habilidades com experiência em segurança da informação para exercer a função. É por esse motivo que muitas empresas preferem contratar uma outra empresa terceira especializada para cumprir o papel de DPO, justamente para não haver o conflito de interesses e por geralmente terem uma visão externa e uma atuação mais rígida de auditoria.
Portanto, é crucial que o colaborador conheça detalhadamente o negócio da empresa, a legislação vigente para a proteção de dados, questões sobre a segurança da informação e ter uma boa comunicação, haja vista que terá que se comunicar com as autoridades e os titulares dos dados.
Não há uma formação específica para se tornar apto a ser um DPO, mas há certificações voltadas para essa função.
O DPO pode ser punido em caso de irregularidades?
A LGPD esclarece que o DPO não é considerado responsável por cumprir as obrigações referentes ao tratamento de dados pessoais.
Porém, se ele passar orientações inadequadas, que causem danos para os titulares dos dados, poderá ser penalizado. Só deixará de ser responsabilizado quando provar que o erro decorre da culpa única do titular ou de terceiro.
Caso ainda não tenham, é urgente que as empresas que tratam dados pessoais conheçam as responsabilidades do DPO e contratem o profissional adequado ao cargo. Com isso, elas garantem o cumprimento das normas da LGPD, evitando multas e demais punições que prejudiquem os seus negócios.
Gostou desse post? Assine a nossa newsletter agora mesmo e receba mais conteúdos exclusivos no seu e-mail!
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.