DPO é um novo cargo obrigatório para empresas e instituições públicas específicas da LGPD, com atribuições e responsabilidades.
DPO tem o principal papel dentro da empresa
Data Protection Officer (DPO) ou conhecido também como Encarregado de Proteção de Dados, é um dos principais requisitos da Lei Geral de Proteção de Dados (LGPD). A escolha desse profissional é o que assegura à empresa de estar em conformidade com a lei. Logo, é o profissional ideal para a segurança da informação, para a proteção de dados empresariais e pessoais.
Multas da LGPD geram punições em todo território nacional para quem descumpri-la. Ela vai desde uma advertência até a cobrança de multa, que pode chegar a 2% do faturamento líquido ao ano. Caso ocorra esse tipo de punição fica limitada a R$ 50 milhões por infração. A empresa também poderá ter o próprio banco de dados bloqueado por até seis meses, inviabilizando suas operações.
Funções do DPO
O DPO deve garantir que a organização processe os dados pessoais de seus funcionários, clientes, fornecedores ou quaisquer outros indivíduos em conformidade com as regras de proteção de dados. Em suma, a coordenação e orientação das instituições sobre as normas de proteção de dados e a implementação das melhores práticas jurídicas e de sistemas de informação será de sua responsabilidade.
Atuação e responsabilidades
Seu principal trabalho é auxiliar a organização a adequar seus processos, para estruturar um programa de compliance, com foco maior na segurança dos dados que estão sob sua responsabilidade.
Não há diferença na atuação e responsabilidades em relação ao porte da empresa. Porém, sabemos que quanto maior a organização o trabalho se torna mais complexo. Por isso, nos últimos anos, a procura por este profissional tem aumentado significativamente e há uma previsão que 50 mil vagas serão geradas, com a finalidade, de atender aproximadamente 4,5 milhões de empresas brasileiras.
DPO as a service
Foram criadas empresas que oferecem “DPO as a service” e diversos cursos de especialização no tema também foram implementados no Brasil e exterior.
O DPO as a service é um serviço oferecido por algumas empresas, com o objetivo de terceirizar o responsável pelo exercício dessa função na sua organização. Assim, ele serve, não apenas para demonstrar conformidade à LGPD, como também, um permanente apoio e especializado para adequação e à implementação do Programa de Governança em Privacidade pela sua empresa.
Cabe destacar, ainda, que a nomeação de um DPO ou de um DPO as a service é obrigatória.
Requisitos para ser um Data Protection Officer
Por não ser uma posição formal, o DPO costuma ser uma pessoa que circula entre todos os setores da empresa. Dessa forma, deve ser comunicativo, ter conhecimento legal, de governança e de Segurança da informação. Normalmente, este cargo é ocupado por advogados ou profissionais de Tecnologia da Informação. Assim, a escolha entre o perfil jurídico ou técnico, tem sua avaliação baseado no tipo de negócio da empresa. Porém, quanto mais tecnologia estiver envolvida, como startups, empresas 100% digitais, e aquelas que já passaram pelo processo de transformação digital, o segundo perfil é o mais adequado. Afinal, com a LGPD em pleno vigor, um DPO se torna essencial.
Com isso, esse profissional tem mais uma opção de desenvolvimento com uma recompensa financeira muito relevante.
LGPD explica algumas atividades do DPO
– Receber comunicações da autoridade nacional e adotar providências;
– Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
– Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Os dados coletados deverão ser informados pelo DPO somente por meio do controlador. Pois, é ele que terá o constante acompanhamento e monitoramento das atividades de tratamento de dados. Portanto, o DPO e o controlador desenvolvem uma relação mútua.
Como se tornar DPO?
É fundamental que o DPO conheça a legislação, tenha experiência em governança e entenda de segurança da informação. Além da capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área Jurídica, Tecnológica (TI), Financeiro, Marketing, Comercial e Recursos Humanos.
Embora a Lei não exija que o profissional tenha uma formação específica, existem algumas certificações relevantes na jornada de um DPO.
Quem é esse profissional?
A ideia é que após a LGPD as empresas tenham alguém para cuidar da proteção de dados pessoais dos cidadãos (funcionários, indivíduos de fora da organização ou ambos). Por isso, a norma exige que determinadas instituições que recolhem, processam ou armazenam esse tipo de informação em larga escala tenham um DPO.
Quem é o DPO na LGPD
LGPD determina para que as empresas tenham alguém para cuidar da proteção de dados pessoais dos cidadãos (funcionários, indivíduos de fora da organização ou ambos). Por isso, a norma exige que determinadas instituições que recolhem, processam ou armazenam esse tipo de informação em larga escala tenham um DPO.
A legislação brasileira define o DPO como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos danos e a Autoridade Nacional de Proteção de Dados (ANPD)”, conforme art. 5, inciso VIII, da LGPD.
Dessa forma, é exposto a importância do DPO na política de proteção de dados, que será responsável pela integração segura de todos os agentes envolvidos no tratamento de dados. Por isso, é essencial que o DPO conheça a legislação, tenha experiência em governança e entenda de segurança da informação.
Controlador, Operador e DPO
Com a LGPD em vigor, as figuras do Controlador, Operador e DPO, surgiram e tornaram-se funções de destaque dentro de uma empresa.
Controlador: a atribuição legal do controlador é garantir que as normas e os princípios estabelecidos pela LGPD, estejam sendo respeitados. Isto é, o controlador coordena e define como ficarão os dados pessoais, da coleta à eliminação.
Operador: é a pessoa ou a empresa que processa e trata os dados pessoais sob as ordens do controlador. Como já mencionado, o operador cumpre ordens e trabalha para o controlador.
DPO: responsável por atuar como uma espécie de fiscal da lei dentro da empresa. Ele exerce seu trabalho com independência para orientar de maneira técnica e tomar decisões corporativas em conformidade com a legislação de proteção de dados pessoais.
Em resumo, o DPO possui uma função de extrema responsabilidade. Portanto, exige-se experiência em leis, práticas de proteção de dados, bem como domínio em segurança da informação.
