JORNADA LGPD | DPO: CONHEÇA O GUARDIÃO DA PROTEÇÃO DE DADOS E ENTENDA POR QUE SUA EMPRESA PRECISA DE UM

Você sabe quem é o Data Protection Officer (DPO)? A partir de agora, com a Lei Geral de Proteção de Dados em vigor, muitas empresas vão precisar desse profissional, conhecido no Brasil também como Encarregado de Dados.

Elencamos a seguir as principais características e atribuições desse profissional para que você possa entender e avaliar a necessidade de ter um DPO da sua empresa.

1. QUEM É O DPO?

O DPO (Data Protection Officer), identificado pela Legislação Brasileira como Encarregado de Proteção de Dados, é a pessoa responsável por auxiliar a empresa em seu tratamento de dados, o que envolve o cumprimento de obrigações legais e intermediação entre os titulares de dados, funcionários e clientes e a Autoridade Nacional de Proteção de Dados (ANPD), garantindo que a empresa esteja sempre de acordo com as regras da LGPD e as boas práticas do setor.

2. QUEM PODE SER DPO?

O DPO pode ser uma pessoa natural, jurídica ou, ainda, um comitê ou grupo de trabalho. Atualmente, é possível que o DPO seja um empregado da empresa (pessoa natural) ou um prestador de serviços (pessoa física ou jurídica).

3. POR QUE PRECISO TER UM DPO?

A contratação de um DPO não é obrigatória, mas a empresa precisará designar uma pessoa responsável pelo tratamento de dados pessoais, mesmo que ela exerça outra atividade em paralelo. Para as empresas que lidam com um grande volume de dados pessoais, é recomendável contarem com um profissional dedicado a esse trabalho.

Ao se preocupar com esse assunto, a empresa demonstra comercialmente que preza pela ética e segurança dos dados de clientes, fornecedores e colaboradores. O recomendado é que organizações que tenham verba para investir em um DPO dedicado (full-time) assim o façam, pois incidentes envolvendo vazamento de dados podem gerar prejuízos multimilionários às empresas e, além disso, ter um profissional como este pode representar um grande diferencial de mercado.

4. AS FUNÇÕES DO DPO, DE ACORDO COM A GDPR (LEI EUROPEIA).

O Brasil se espelha diretamente na Legislação Europeia e, de acordo com artigo 37 da GDPR, a figura do DPO é necessária sempre que o tratamento for feito por órgãos ou autoridades públicas e a empresas que lidem com dados especiais e sensíveis ou faça um monitoramento de dados.

O artigo 39 da Lei define que estão entre as tarefas do DPO:

• Informar e aconselhar o responsável pelo tratamento e os demais profissionais sobre suas obrigações nos termos do GDPR
• Controlar a conformidade com o GDPR e com as políticas do responsável pelo tratamento, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal envolvido no tratamento
• Prestar aconselhamento, se tal for solicitado, no que se refere à avaliação do impacto da proteção de dados, e acompanhar o seu desempenho
• Cooperar com as autoridades
• Servir de ponte para a autoridade de supervisão em questões relacionadas com o tratamento

5. AS FUNÇÕES DO DPO DE ACORDO COM A LGPD (LEI BRASILEIRA)

O texto da LGPD designa algumas atribuições para o DPO, previstas em sua maioria no artigo 41, parágrafo 2º. São elas:

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
• Receber comunicações da autoridade nacional e adotar providências
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares

6. RESPONSABILIZAÇÃO EM CASO DE DANOS E PROBLEMÁTICAS ENVOLVENDO PROTEÇÃO DE DADOS

A responsabilização por danos causados através do exercício de atividade de DPO que realiza o tratamento de dados pessoais, em regra, recai sobre as empresas, sejam elas controladoras ou operadoras. Ou seja, se uma empresa, por exemplo, realizar algum tipo de tratamento de dados pessoais e causar algum dano a consumidores, funcionários, fornecedores ou quaisquer outras pessoas naturais – esteja ela na posição de controladora ou de operadora – poderá ser responsabilizada por reparar este dano.

Todavia, existe a possibilidade de que aquele que reparar o dano ao titular do dado pessoal tenha o direito de exigir sua compensação contra os demais responsáveis, à medida da participação no evento danoso.

Assim, o DPO, seja ele empregado ou prestador de serviços contratado, que tenha efetivamente contribuído para o dano causado, pode vir a ser responsabilizado, a depender de seu grau de participação no evento, bem como da extensão das obrigações assumidas contratualmente com a empresa empregadora ou contratante. Neste ponto, o contrato entre a empresa e seu DPO deve ser bastante rigoroso e esmiuçar os limites da atuação e responsabilidade do profissional.

Dessa forma, torna-se recomendável uma assessoria jurídica especializada, que possa balancear da melhor forma a parcela de responsabilidade de cada envolvido e evitar incidentes e violações à proteção de dados pessoais.

7. ANPD E A REGULAMENTAÇÃO COMPLEMENTAR SOBRE O DPO

Por fim, é importante ressaltar que a Autoridade Nacional de Proteção de Dados (ANPD) poderá estabelecer regras complementares sobre a definição e as atribuições do DPO, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Portanto, um acompanhamento constante dessas decisões em conjunto com uma assessoria jurídica de confiança é essencial para que as operações que envolvam o tratamento de dados pessoais estejam sempre de acordo com a LGPD e as demais normas aplicáveis.