Um dos passos importantes para a adequação à LGPD é a nomeação do DPO, que desempenhará várias atribuições dentro da organização.
Mas afinal, quem é o DPO?
O DPO (Data Protection Officer – termo utilizado pelo Regulamento Europeu) ou Encarregado de Dados, nomenclatura presente na legislação brasileira, é a pessoa natural ou jurídica, responsável por atuar como um canal de comunicação entre os titulares, o controlador e a Autoridade Nacional de Proteção de Dados, a ANPD.
As atribuições desse profissional consistem em aceitar as reclamações e comunicações dos titulares, prestando esclarecimentos e adotando as devidas providências; receber comunicações da Autoridade Nacional e adotar providências; orientar os funcionários e os contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Mas vai muito além das atribuições previstas na LGPD, pois o DPO é a pessoa dentro da organização responsável por difundir a cultura da proteção de dados e cumprimento de boas práticas, uma das funções mais importantes no programa de compliance à LGPD.
Não há um perfil pronto, tampouco critérios legais específicos quanto à formação e skills desse profissional, mas fato é que deverá ser um profissional multidisciplinar, conseguindo compreender e aplicar os conceitos e comandos da legislação, bem como conceitos da área da tecnologia da informação.
Também é importante conhecer o modelo de negócio, os dados pessoais que a empresa possui e o data mapping, fluxo dos dados dentro da organização.
A pergunta que ainda fica é: um funcionário da minha empresa pode atuar como DPO?
Sim, a resposta é afirmativa. Mas alguns cuidados devem observados para a correta atuação do DPO e cumprimento dos objetivos da LGPD.
O DPO precisa ter autonomia, independência e acesso ao mais alto nível da direção da empresa, ou seja, no exercício da função a organização precisa apoiá-lo e conferir-lhe todas as informações necessárias em relação ao tratamento de dados pessoais.
Outro ponto importante no caso do DPO interno, é a necessidade de se evitar o conflito de interesses, sendo indispensável que no exercício da função de DPO o profissional zele pelo cumprimento da lei e das boas práticas da empresa.
Ainda, a LGPD autorizou a atuação de um DPO externo à organização, o DPO as a service, que exercerá as mesmas funções do DPO interno, mas sem vínculo empregatício com a organização.
Mas, qual a melhor escolha?
Cada organização terá suas peculiaridades e necessidades, e deverá pensar no melhor DPO para sua empresa, a depender do porte, seguimento, volume de tratamento de dados, mas sobretudo visando a privacidade e proteção dos dados dos titulares.
O DPO interno conhecerá o modelo de negócio da organização, detalhes de sua estrutura, pessoas e dados pessoais; já o DPO externo geralmente está caracterizado em empresas especializadas, eventualmente com um custo mais acessível e não se sujeitam à legislação trabalhista.
Assim, embora regulamentações específicas ainda podem vir a ocorrer por meio da ANPD, como a eventual dispensa de DPO para micro e pequenas empresas, fato é que o DPO desempenha um papel relevante não apenas para atuar como meio de comunicação entre titulares, controlador e ANPD, mas também para o compliance da empresa em relação a proteção e privacidade de dados e para o implantação da cultura de cuidado no tratamento dos dados.
Texto elaborado pela advogada Brenda Evelin Wischral, atuante na área da Controladoria Jurídica e Encarregada de Dados da MMD & Advogados Associados.
