LGPD e sua relação com os DPOs

Tempo de leitura: 4 minutos

Recentemente, foi sancionada no Brasil a Lei nº 13.709/2018, ou Lei Geral de Proteção de Dados (LGPD), inspirada na legislação da União Europeia GDPR. Tanto a lei GDPR quanto a LGPD brasileira têm em seu texto a exigência de um encarregado de proteção de dados, o Data Protection Officer (mais conhecido pela sigla DPO).

Esse cargo tende a ser um dos mais desejados e procurados pelas empresas, uma vez que as multas aplicadas para ambas as leis podem chegar a 20 milhões de euros, no caso do GDPR  e 50 milhões de reais para a LGPD. Especialmente no Brasil, já que o texto da lei também prevê a criação de uma Agência Nacional de Proteção de Dados, órgão responsável por fiscalizar o cumprimento da lei. Mas afinal, o que é um DPO e qual sua importância dentro das empresas?

O que é um DPO?

Segundo consta no art. 41 § 2º da LGPD, as atividades fundamentais do DPO consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Ou seja, é o responsável por controlar a forma como dados pessoais e sensíveis são coletados, tratados, armazenados e descartados, além de ser o responsável por disseminar a cultura de proteção de dados dentro da empresa, ensinando aos funcionários as melhores políticas para utilização de dados, bem como estabelecendo normas e procedimentos pensando sempre em estar em compliance com a lei.  

Esse profissional também é a ponte entre a Agência Nacional de Proteção de Dados (ANPD) e a empresa para a qual o DPO trabalha, sendo o encarregado de receber notificações da ANPD e dos titulares das informações que a empresa retém.

Qual o perfil e as funções de um DPO?

O DPO pode ser tanto da área jurídica, como da área de segurança da informação/ tecnologia da informação. Se ele veio da área jurídica, traz consigo a visão da lei em relação a responsabilidades mais externas à empresa, como por exemplo as formas de lidar com terceiros e seus dados. Esse é chamado DPO Externo.

Quando o profissional é da TI, seu foco está em reorganizar a estrutura interna da empresa, tratando de aspectos mais técnicos, em especial no que compete à segurança da informação e mapeamento de processos que lidam direta ou indiretamente com dados pessoais. Nesses casos, o DPO é chamado Interno.

Independentemente da área de origem, o DPO tem papel estratégico nas decisões  da organização, ele deve ter autonomia em relação a atividades que envolvam qualquer natureza de tratamento de dados. Além de ter habilidades de gerenciamento e comunicação com autoridades, afinal eles se comunicam diretamente com os órgãos reguladores.

Segundo a especialista em direito digital Patrícia Peck: “O DPO deve, em primeiro lugar, ser alguém com autonomia para poder exercer uma função fiscalizatória interna. Mas também possui prerrogativas de interlocutor com a Autoridade Fiscalizadora de Proteção de Dados Pessoais. Sendo assim, o recomendável é que seja um profissional com uma formação mais interdisciplinar, com conhecimentos da nova legislação, conhecimentos sobre governança de bases de dados pessoais, de segurança da informação, mas que tenha habilidade para se relacionar como porta-voz da instituição perante as autoridades e também perante os titulares dos dados, principalmente no caso de ter que cumprir com o dever de reportar situações de incidentes de violações de dados pessoais”.

As vantagens de ter um DPO

Para além de estar em conformidade com as legislações vigentes, ter um DPO pode ser bastante estratégico e vantajoso para as empresas. Dentre os benefícios de contratar um profissional DPO, se destacam:

  • Evita sobrecarga para os gestores jurídico e de TI da empresa;
  • Garantia de processos sempre em compliance com a legislação;
  • Implementação e atualização das políticas de segurança;
  • Centralização da gestão de dados;

A Introduce prioriza a segurança de seus clientes para que possam crescer cada vez mais e evoluir em sua jornada, por isso conta com profissionais com certificação DPO. Nosso consultor, José Fernando Weege certificou-se como Data Protection Officer pela Assespro.

Segundo ele: “O objetivo da certificação é qualificar os profissionais para implementar as novas diretrizes fundamentadas na Lei Geral de Proteção de Dados. É importante frisar que a LGPD trata exclusivamente de dados pessoais e não corporativos.”

Ele também comenta que “É relevante que as organizações também pensem em implementar uma PSI com fundamentos da LGPD.”

Quer entender mais sobre a LGPD para estar preparado para as mudanças do mercado? Aproveite e participe do Café com LGPD promovido pela Introduce em parceria com a Dupont Spiller Advogados. Inscreva-se aqui.