A Lei Geral de Proteção de Dados (LGPD) aprovada pelo governo federal em 2018 tem por objetivo garantir a segurança e a privacidade no controle dos dados pessoais dos usuários e clientes de diversos segmentos que são cadastrados em bancos de dados seja de forma manual ou eletrônica. Para descobrir como ela está ligada diretamente com o Data Protection Officer, é preciso primeiro entender:
A nova lei busca dar mais transparência aos processos de captação e uso dos dados fornecidos. A partir dela, é preciso criar mecanismos para que os usuários tenham conhecimento sobre a finalidade de uso daquele dado que está sendo fornecido.
As empresas, portanto, além de permitir que o usuário (titular) consulte os dados que o empreendimento (controlador) tem a seu respeito, precisam descrever para que fim aquele dado está sendo usado. Caso o usuário discorde do uso, ele pode desautorizar o armazenamento de suas informações pessoais.
Criar esse sistema de dados e consulta de forma transparente e segura é o desafio das empresas que lidam diretamente com o armazenamento e análise de dados pessoais e de performance digital de seus clientes.
Por isso, é necessário escalar uma equipe ou um profissional com habilidades para planejar e executar um sistema de controle com segurança e agilidade. A esse profissional ou equipe dá-se o nome de DPO – Data Protection Officer. É sobre ele que trataremos neste texto, enfatizando sua importância para a empresa em relação às regras da LGPD.
O que é o Data Protection Officer?
O Data Protection Officer (DPO) é o novo profissional que toda empresa que lida com dados diariamente precisa ter. É uma demanda que surge com a Lei Brasileira de Proteção de Dados, inspirada no General Data Protection Officer, da lei europeia, com mesmo objetivo.
Na LGPD, o DPO é mencionado como Encarregado e tem por principal função estabelecer e gerir a comunicação entre a empresa, a Autoridade Nacional de Proteção de Dados (ANPD) e o titular (dono dos dados pessoais).
Ele também é o profissional que ajuda a empresa a se adaptar, trabalhando em acordo com as exigências da lei. O DPO, então, estrutura o programa de proteção de dados (compliance), estabelece e monitora as diretrizes que devem ser seguidas pela empresa nos diversos setores.
Quem é quem, conforme LGPD
A LGPD menciona quatro sujeitos envolvidos na questão da coleta, armazenamento e uso de dados. O titular é o cidadão (pode ser cliente ou fornecedor) que fornece os dados por vias analógicas, eletrônicas ou digitais.
O controlador é responsável pela coleta e armazenamento das informações. A ele compete as decisões sobre o tratamento dos dados.
Já o operador é aquele profissional ou equipe que vai lidar com os dados a partir das deliberações do controlador. Realiza, na prática, o tratamento dos dados em nome do controlador.
Nesse meio, o Data Protection Officer, ou Encarregado, responsabiliza-se pela comunicação e monitoramento das ações do controlador e do operador em relação à coleta, armazenamento e uso de dados do titular.
Portanto, deve conhecer profundamente os detalhes da lei, com experiência em governança de proteção de dados e que possa estruturar um programa de compliance que garanta a segurança dos dados com ética, evitando usos desviantes ou crimes cibernéticos.
Ter noção dessas funções é importante para estabelecer quem será o DPO no empreendimento.
O trabalho do DPO na empresa
A LGPD exige que a identidade do Data Protection Officer seja pública e divulgada no site da empresa. Como sua função é ser esse elo de comunicação entre as partes envolvidas, cabe a ele:
- Dialogar com os titulares, tirando dúvidas, acatando as reclamações, prestando esclarecimentos e tomando as devidas providências em relação ao titular.
- Acatar demandas da Autoridade Nacional (ANPD), comunicar ao controlador, delegar e tomar providências.
- Trabalhar na educação de funcionários, operador e controlador da empresa, no sentido de orientá-los em relação às práticas normativas sobre a proteção de dados pessoais.
- executar as demandas advindas do controlador.
Ainda conforme a LGPD, a ANPD poderá determinar normas complementares de atuação do DPO, inclusive sobre necessidade ou dispensa do profissional de acordo com o porte e natureza do negócio.
Minha empresa precisa de um Data Protection Office?
O DPO ou Encarregado é uma exigência da Lei Geral de Proteção de Dados. Portanto, não tê-lo na reorganização da estrutura empresarial pode implicar em sanções ou penalidades pela ANPD.
É a ANPD que deve regular a atuação dos DPOs e a necessidade dele nas empresas. Na legislação europeia, para empresas com menos de 250 funcionários, a lei é menos rigorosa em relação ao DPO, mas exigido para empresas com grande volume de funcionários e, por consequência, grande fluxo de titulares e dados a serem manejados.
No âmbito brasileiro, sabe-se que ele deve ser designado pelo controlador, mediando os interesses dos titulares e dos empresários.
Como eleger o Data Protection Office da empresa?
O cargo pode ser ocupado por um profissional da própria empresa da área jurídica ou de tecnologia da informação. Ou deve-se contratar uma empresa terceirizada para esse fim.
Já que o Data Protection Officer será responsável pela comunicação entre as partes interessadas e envolvidas na segurança dos dados. Ele deve ser um profissional responsável e que tenha conhecimento da própria cultura organizacional, uma vez que sua atuação deve estar alinhada com os objetivos da empresa.
Ele vai trabalhar de maneira integrada com o setor de Tecnologia da Informação (operador, conforme LGPD), assim como com o CEO, apresentando para ambos os lados as exigências da lei e a forma como a empresa deve agir para cumpri-las, sem sofrer penalidades.
Pela complexidade e grande responsabilidade da função, recomenda-se que o DPO seja exclusivamente dedicado sem acumular outras atividades. A menos que a empresa terceirize o serviço.
Se o caso for de terceirização, é importante verificar o histórico e experiência da empresa ou pessoa contratada no âmbito da segurança de dados. Como mencionado, pode ser alguém do campo jurídico – que atuará com propriedade no cumprimento e interpretação da lei, como pode ser alguém da área tecnológica, mas que deve também compreender bem a LGPD.
Especialistas ainda ponderam que profissionais de outras áreas podem também exercer a função de DPO desde que esteja ciente da cultura organizacional, da LGPD, sendo uma figura autônoma dentro da organização.
A Lei Geral de Proteção de Dados traz muitas informações que devem ser compreendidas e implementadas pelas empresas. Por isso, aproveite para ler outros artigos nossos abaixo:
