Com todas as atuais mudanças que estamos vivendo no universo corporativo, você já deve ter ouvido falar no termo “DPO”.
Inicialmente, é importante esclarecer que DPO é a sigla para Data Protection Officer, que em português quer dizer Encarregado de Proteção de Dados.
Temido por uns, fundamental para outros, inúmeras são as dúvidas sobre qual seria de fato a função exercida por um “Data Protection Officer”.
E você, sabe qual é o papel e a importância de um “DPO” (Data Protection Officer) segundo os parâmetros da LGPD?
Para melhor entender como e quando surgiu a figura do “DPO”, é necessário falarmos sobre a Lei Geral de Proteção de Dados.
A LGPD é a legislação brasileira que visa regulamentar o tratamento de dados pessoais de pessoas físicas em território brasileiro. Ela foi elaborada em agosto/2018, contudo somente entrou em vigor em setembro/2020, foi a partir da criação da lei, que nasceu o cargo de DPO, que está identificado no inciso VIII, do artigo 5º da Lei Geral de Proteção de Dados:
Art. 5º Para os fins desta Lei, considera-se:
VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Deste modo, o “DPO” possui papel fundamental dentro de uma organização, tendo em vista que, sua função objetiva garantir que os processos internos da empresa estejam em conformidade com a LGPD, em relação aos seus colaboradores, clientes e fornecedores.
Das atribuições de um DPO (Data Protection Officer) na LGPD
Para nos aprofundarmos sobre quais seriam as possíveis atividades exercidas por um “DPO”, a própria LGPD, além criar e informar a finalidade do cargo, também descreve quais atribuições estão relacionadas ao seu ofício, podendo ser encontradas nos incisos de I a IV, do parágrafo 2º, do artigo 41, da LGPD.
Vejamos:
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Observa-se que, com a descrição acima, o “DPO” tem como incumbência maior, orientar sobre o tratamento de dados e aconselhar as empresas em relação às boas práticas para tratamento e processamento dos dados pessoais, a fim de que se possa minimizar e em muitos casos eliminar riscos de incidentes de segurança.
Sem sombras de dúvidas, o DPO consegue trazer maior segurança às operações que são realizadas dentro de uma empresa, viabilizando o tratamento de dados, para que de forma adequada, a organização possa efetuar a coleta, manuseio, armazenamento e até o descarte desses dados.
Quais empresas precisam ter um DPO?
Segundo as orientações da Lei Geral de Proteção de Dados, toda empresa precisa de um “DPO”, seja ela uma empresa pública ou privada, de pequeno, médio ou grande porte, isso porque, é necessário que as organizações estejam devidamente adequadas à LGPD, sendo responsável por garantir a conformidade, o encarregado de dados.
No entanto, para os casos das empresas de pequeno porte, a própria ANPD trouxe uma regulamentação para tratamento de dados de forma diferenciada, transcrita na Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que permite uma flexibilização nas operações para as empresas consideradas “agentes de pequeno porte”, quais sejam:
I – Microempresas;
II – empresas de pequeno porte, incluído o microempreendedor individual;
III – startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos;
IV – startups;
V – zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.
A resolução supracitada, objetiva facilitar a adequação dessas organizações junto à LGPD para a realidade empresarial desses agentes de pequeno porte, simplificando ou até em alguns casos dispensando determinados procedimentos, inclusive a desobrigação de indicar um encarregado de dados ou “DPO”, devendo ser observado todas as demais determinações para realizar esse tipo de adequação.
Ainda que haja exceções quanto à indicação de um DPO, a existência de um é considerada boa prática e certamente auxiliará a empresa no cumprimento da LGPD.
Outrossim, em todos os demais portes de empresa, é dever da empresa controladora dos dados tratados, designar um encarregado de dados. Assim dispõe o artigo 41, da LGPD:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
Destarte, controlador é toda empresa que determina sobre o tratamento dos dados, as finalidades, condições e meios do processamento, conforme dispõe o inciso VI, do artigo 5º da LGPD:
Art. 5º Para os fins desta Lei, considera-se:
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Para simplificar, toda empresa pratica o papel de controladora em alguns de seus processos internos, portanto é necessário nomear um “DPO”, para que este possa viabilizar as operações da empresa, retirando condutas que estejam em desconformidade com a lei, bem como ajuda a evitar que as organizações fiquem expostas aos incidentes de segurança.
Por fim, é possível que o “DPO” seja pessoa física ou pessoa jurídica, devendo seus dados para contato serem divulgados na plataforma de acesso do controlador, de forma clara e facilitada aos titulares da dados, para que estes possam entrar em contato, caso possuam interesse em fazer alguma alteração, questionamento ao até mesmo solicitar o descarte de seus dados. Tal prática está em conformidade com os princípios (ii) livre acesso, (ii) qualidade dos dados e (iii) transparência da LGPD.
Deste modo, se sua empresa ainda não possui um “DPO”, é sinal que ela está em desconformidade com a LGPD, podendo estar exposta a diversos riscos de incidente de segurança, bem como sujeita a tomar multas altíssimas, como vem ocorrendo com várias empresas que não se atentaram para adequar-se às diretrizes da LGPD.
Nesse caso, a sugestão é, procure uma empresa especializada como a Legal Comply, que pode esclarecer todas as dúvidas acerca da função do “DPO” e o mais importante, ajudar a promover maior segurança nos processos internos, com colaboradores, clientes e fornecedores.
Autora: Pâmela da Silva Cruz