DPO o que é ? Para que é necessário?
DPO. O que é e pq é necessário?
O DPO é uma novo cargo que começa a surgir com o advento da LGDP aqui no Brasil e já existe na Europa desde 2016. O seu significado é Data Protection Officer, possui previsão legal na LGPD em seu art. 5, inc. VIII (redação dada pela a lei nº 13.853. de 2019) onde a lei Brasileira o descreve como “encarregado” e o seu papel é de alta relevância para o trabalho da proteção de dados.
Art. 5º Para os fins desta Lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019)
Lei 13.709/2018 (LGPD)
O DPO é um novo profissional com um perfil diretivo e com objetivos de colocar em prática todos os recursos e ferramentas possíveis e disponíveis pela empresa (controladora) em que atua para garantir a segurança e privacidade dos dados pessoais dos titulares. Ele deverá se responsabilizar enquanto atividade que executa, manter registros atualizados dentro do cliente e evidenciar (criar logs, registros) todo o andamento do desenvolvimento de seu trabalho.
Todas as empresas no Brasil serão obrigadas a nomear um DPO como responsável pela a privacidade dos dados dentro da empresa, seus dados de contato deverão estar disponíveis em todos os canais de comunicação e de fácil acesso para o público. No art. 41 da LGPD dispõem sob a indicação desse profissional pela a controladora (empresa):
Seção II
Do Encarregado pelo Tratamento de Dados Pessoais
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Lei 13.709/2018 (LGPD)
O DPO terá o papel de orientar o controlador a respeito das boas práticas de adequação em proteção de dados pessoais, deverá ter conhecimento da legislação pertinente ao seu objeto de atuação. Então deverá dominar a legislação brasileira LGDP a lei EU – GDPR e outras normas e regulamentos pertinentes ao negócio do cliente.
Deverá ser o contato entre os titulares e a empresa assim como a autoridade supervisora. O DPO atua de forma independente, autônoma e respondendo diretamente a legislação, não havendo relação de subordinação com outros diretores de áreas hierarquicamente equiparadas e o controlador pois deverá respeitar a previsão normativa da lei.
Não há exigência legal, de que esse profissional seja um advogado ou um profissional da área de TI, embora seja bastante interessante que possua conhecimento em ambas as áreas, podendo ser possuir qualquer formação, más vale lembrar que é desejável que tenha capacidade de tratar de uma ou de ambas as áreas anteriormente citadas.
O DPO pode atuar como consultor externo, como funcionário, como PJ dentro da empresa. Empresas (controladoras ou operadoras) podem ter um ou mais DPOs e de várias áreas, como um DPO jurídico, um DPO da TI e etc. O importante é determinar quem desses estará à frente da área.
O DPO tem o dever de comunicar a autoridade supervisora sempre que houver algum tipo de risco eminente ou haja a violação aos dados pessoais dos titulares e em que haja impacto e gravidade a privacidade dos dados dos titulares perdas e danos aos mesmos.
Essa é uma das principais posições de significativa importância, no projeto de privacidade e proteção de dados pessoais e é um cargo estratégico para qualquer empresa.
Autor: Estéfano Fonseca - Advogado e especialista em LGPD