VOCÊ SABE O QUE FAZ UM DPO? Hum... DP o que?
Familiarizado com as novas terminologias que a Lei Geral de Proteção de Dados trouxe? Ainda não? Vamos ajudar você! A LGPD traz uma série de novos conceitos e algumas siglas que passaram a fazer parte do cotidiano das empresas. Uma delas, com certeza é a figura do DPO – o Data Protection Officer, ou simplesmente, Encarregado de Proteção de Dados.
A LGPD determina que cada empresa nomeie o seu Encarregado de Proteção de Dados (Data Protection Officer – DPO), figura que deverá ter um papel importante frente à proteção de dados de sua organização, assim como responder por todos os assuntos a ela relacionados.
O DPO é o elo de comunicação entre os Titulares dos dados pessoais, os agentes de tratamento de dados e a Autoridade Nacional de Proteção de Dados (ANPD). Para tal, a LGPD determina, expressamente, que o DPO tem como atribuição a orientação dos prepostos da empresa quanto às práticas de proteção de dados a serem adotadas, além de outras atribuições que poderão ser delimitadas pelo controlador dos dados e pela própria ANPD.
Mas não é só. As boas práticas internacionais indicam que o DPO também tem outras funções fundamentais para a criação e manutenção de uma cultura de proteção de dados e privacidade nas empresas como conduzir, ou auxiliar na condução, os relatórios de impacto à proteção dos dados, participar de decisões estratégicas da empresa quanto a novos projetos, produtos e serviços, apoiar a conscientização e capacitação dos colaboradores quanto a importância da proteção dos dados pessoais e da garantia da privacidade, entre outros.
Para auxiliar as empresas na análise de seus recursos humanos internos ou mesmo a possibilidade de contratação externa, vamos citar algumas das principais experiências e qualidades profissionais para exercício da função:
- Experiência em leis e práticas de proteção de dados;
- Experiência / Certificação em gerenciamento de programas de proteção de dados proporcionais à sensibilidade, complexidade e quantidade de dados que o empregador processa;
- Integridade e alta ética profissional;
- Capacidade de lidar com informações e assuntos de negócios com sigilo e confidencialidade, conforme apropriado;
- Experiência comprovada em liderança e gerenciamento de projetos;
- Capacidade de se comunicar de forma eficaz com os mais altos níveis de gestão e tomada de decisão dentro da organização;
- Familiaridade com avaliação de risco de privacidade e segurança e melhores práticas, certificações / selos de privacidade e certificações de padrões de segurança da informação;
- Compreensão sólida e familiaridade com programação e infraestrutura de tecnologia da informação e práticas e auditorias de segurança da informação;
- Capacidade de comunicar-se efetivamente com os titulares dos dados, autoridades de proteção de dados e outros controladores e processadores além das fronteiras e culturas nacionais;
- Autoconsciência e confiança adequados para reconhecer lacunas de conhecimento e buscar preenchê-las a partir de fontes confiáveis;
- Conhecimento do setor empresarial e da organização patronal;
- Compreensão suficiente das operações de processamento realizadas, bem como dos sistemas de informação e das necessidades de segurança e proteção de dados do empregador;
- No caso de uma autoridade ou órgão público, o DPO também deve ter um conhecimento sólido das regras e procedimentos administrativos da organização.
Quais as responsabilidades do DPO?
- Informar, aconselhar e emitir recomendações em relação ao cumprimento das leis de proteção de dados;
- Promover uma cultura de proteção de dados dentro da organização e ajudar a implementar elementos essenciais da LGPD/GDPR, como os princípios de processamento de dados, direitos dos titulares dos dados, proteção de dados by design e by default, registros de atividades de processamento, segurança de processamento e notificação e comunicação de violações de dados;
- Aconselhar os agentes de proteção de dados sobre:
- Se deve ou não realizar uma avaliação do impacto da proteção de dados,
- Qual metodologia a seguir ao realizar um DPIA (Data Protection Impact Assessment),
- Quais salvaguardas (incluindo medidas técnicas e organizacionais) aplicar para mitigar quaisquer riscos aos direitos e interesses dos titulares dos dados,
- Suas conclusões a partir do DPIA (se deve ou não prosseguir com o processamento e quais salvaguardas aplicar);
- Manter o registro das operações de processamento sob responsabilidade do controlador como uma das ferramentas que possibilitam o monitoramento da conformidade, informando e orientando o controlador ou o processador;
- Documentar todas as decisões tomadas de forma consistente e contrária ao conselho do DPO;
- Oferecer suporte necessário assim que ocorrer uma violação de dados ou outro incidente;
- Capacidade de cumprir tarefas, tais como o treinamento contínuo adequado e regular; e,
- Iniciativa e capacidade de agir de forma independente.
Outras observações importantes: Os agentes de tratamento permanecem responsáveis pelo cumprimento da lei de proteção de dados e devem ser capazes de demonstrar conformidade.
Os DPOs não devem ser instruídos sobre como lidar com um assunto, que resultado deve ser alcançado, como investigar uma reclamação ou se deve consultar a autoridade de supervisão; eles não devem ser instruídos a ter uma determinada visão de uma questão relacionada à lei de proteção de dados, por exemplo, uma interpretação específica da lei.
Todas essas especificações criam um verdadeiro desfio. Profissionais de privacidade totalmente qualificados ainda são difíceis de encontrar, e os recursos internos existentes podem não ter a expertise ou independência para satisfazer os rigorosos requisitos.
Mas a LGPD assim como outras leis de proteção de dados permite que as empresas contratem com um recurso externo para servir como DPO no que é conhecido como um modelo DPO-as-a-service ("DPOaaS" ou um "DPO Externo"). A solução externa de DPO permite que as empresas nomeiem uma equipe de verdadeiros especialistas em privacidade como seu DPO sem forçar recursos internos sobrecarregados e potencialmente ainda em qualificação.
RESPONSABILIDADES DO DPO AS A SERVICE:
Um DPO terceirizado terá as mesmas atribuições que um DPO interno teria. O diferencial está na possibilidade de um atendimento composto por uma equipe especializada, e que se dedica exclusivamente, em assuntos como:
- abordagem atenta à gestão do programa de privacidade;
- às questões regulatórias;
- ao escopo consultivo nas questões de tecnologia segurança e governança de dados.
É de suma importância salientar que apesar da LGPD não fazer nenhuma menção específica, o General Data Protection[1] (GDPR) prevê que o DPO seja designado com base nas suas qualidades profissionais e, em especial, no seu conhecimento jurídico especializado bem como em práticas de proteção de dados, como também na sua capacidade para desempenhar as suas funções.
RESPONSABILIDADES DA EMPRESA CONTRATANTE:
A figura do DPO é tão central na LGPD que a legislação determina que sua atividade, para bem executada, deva estar assegurada de total autonomia e independência.
Portanto, são deveres dos agentes de tratamento, quanto ao DPO:
- Fornecer os recursos necessários ao desempenho de suas funções;
- Franquear acesso aos dados pessoais e às operações de tratamento;
- Não interferir no exercício de suas funções;
- Não penalizar o DPO pelo exercício regular de suas funções/atribuições;
- Garantir que o DPO reporte e responda diretamente à direção no seu mais alto nível;
- Designar um funcionário focal para estar atento aos prazos e requisições do DPO;