O DPO é uma das obrigatoriedades da LGPD
DPO é a sigla para Data Protection Officer e este é o termo utilizado na GDPR (General Data Protection Regulation), a lei geral de proteção de dados européia, que serviu de base para a elaboração da LGPD. Este profissional foi chamado de “Encarregado pelo tratamento de dados pessoais” na lei nacional. No artigo anterior, vimos que toda empresa, independente de seu tamanho e volume de dados pessoais, deve se adaptar a LGPD (leia aqui). Mas será que toda empresa precisa de um DPO? Em seu artigo 41 a Lei Geral de Proteção de Dados estabelece a obrigatoriedade e as atribuições do encarregado (DPO):
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Conforme exposto acima, toda empresa que trata dados pessoais deverá indicar um DPO, além de tornar essa nomeação pública. O DPO, pessoa física ou jurídica, deverá servir de elo entre o controlador, os titulares dos dados e a autoridade nacional, somando-se ao fato de ser o responsável pela implantação da cultura de proteção de dados na organização. Apesar de não constarem como sendo de responsabilidade direta do DPO, existem diversas outras obrigatoriedades às quais as empresas devem seguir, como por exemplo: revisão dos processos internos, elaboração de política de proteção de dados (art. 46), políticas de privacidade (art. 9), política de cookies, política de retenção de dados, Registro de atividade de tratamento (art. 37), Análise de Impacto sobre Proteção de Dados (AIPD), entre outros. Portanto, o DPO não apenas é o profissional mais qualificado para orientar e auxiliar a empresa em todo este processo de adequação, mas é a peça central do processo de conformidade com a LGPD. A lei definiu de forma rasa as atribuições do DPO, porém, deixa claro em seu artigo 41 que as atribuições do DPO poderão ser revistas pela ANPD (Agência Nacional de Proteção de Dados), de forma que há consenso dos profissionais da área de que serão estabelecidos critérios mais rígidos e novas responsabilidades para este profissional, seguindo o modelo definido pela GDPR europeia. Apesar da lei não definir uma formação específica para o DPO, já existem diversas entidades que certificam este profissional. O DPO deve ter conhecimentos jurídicos, administrativos e de segurança da informação. Ele deve ainda trabalhar com independência e autonomia, se reportando diretamente para a alta direção da empresa. Toda empresa precisa de um DPO qualificado, e contratar o chamado DPO-as-a-service é a solução mais prática e com menor custo para contar com este profissional. A DPO Expert é a melhor solução em LGPD! Solicite uma proposta! Rafael Susskind Diretor DPO Expert | DPO certificado Exin | ISFS | PDPF | PDPP | Membro da ANPPD®
