O que é Data Protection Officer e o que tem a ver com a LGPD?

Saiba mais sobre a importância do Data Protection Officer e como ele será fundamental na nova era da LGPD. Confira!

O que é Data Protection Officer e o que tem a ver com a LGPD?

A Lei Geral de Proteção de Dados (LGPD) aprovada pelo governo federal em 2018 tem por objetivo garantir a segurança e a privacidade no controle dos dados pessoais dos usuários e clientes de diversos segmentos que são cadastrados em bancos de dados seja de forma manual ou eletrônica. Para descobrir como ela está ligada diretamente com o Data Protection Officer, é preciso primeiro entender:

 

A nova lei busca dar mais transparência aos processos de captação e uso dos dados fornecidos. A partir dela, é preciso criar mecanismos para que os usuários tenham conhecimento sobre a finalidade de uso daquele dado que está sendo fornecido.

 

As empresas, portanto, além de permitir que o usuário (titular) consulte os dados que o empreendimento (controlador) tem a seu respeito, precisam descrever para que fim aquele dado está sendo usado. Caso o usuário discorde do uso, ele pode desautorizar o armazenamento de suas informações pessoais.

 

Criar esse sistema de dados e consulta de forma transparente e segura é o desafio das empresas que lidam diretamente com o armazenamento e análise de dados pessoais e de performance digital de seus clientes.

 

Por isso, é necessário escalar uma equipe ou um profissional com habilidades para planejar e executar um sistema de controle com segurança e agilidade. A esse profissional ou equipe dá-se o nome de DPO – Data Protection Officer. É sobre ele que trataremos neste texto, enfatizando sua importância para a empresa em relação às regras da LGPD.

O que é o Data Protection Officer?

O Data Protection Officer (DPO) é o novo profissional que toda empresa que lida com dados diariamente precisa ter. É uma demanda que surge com a Lei Brasileira de Proteção de Dados, inspirada no General Data Protection Officer, da lei europeia, com mesmo objetivo.

 

Na LGPD, o DPO é mencionado como Encarregado e tem por principal função estabelecer e gerir a comunicação entre a empresa, a Autoridade Nacional de Proteção de Dados (ANPD) e o titular (dono dos dados pessoais).

 

Ele também é o profissional que ajuda a empresa a se adaptar, trabalhando em acordo com as exigências da lei. O DPO, então, estrutura o programa de proteção de dados (compliance), estabelecendo e monitorando as diretrizes a serem cumpridas pela empresa nos diversos setores.

Quem é quem, conforme LGPD

A LGPD menciona quatro sujeitos envolvidos na questão da coleta, armazenamento e uso de dados. O titular é o cidadão (pode ser cliente ou fornecedor) que fornece os dados por vias analógicas, eletrônicas ou digitais.

 

O controlador é responsável pela coleta e armazenamento das informações. A ele compete as decisões sobre o tratamento dos dados.

 

Já o operador é aquele profissional ou equipe que vai lidar com os dados a partir das deliberações do controlador. Realiza, na prática, o tratamento dos dados em nome do controlador.

 

Nesse meio, o Data Protection Officer, ou Encarregado, responsabiliza-se pela comunicação e monitoramento das ações do controlador e do operador em relação à coleta, armazenamento e uso de dados do titular.

 

Portanto, deve conhecer profundamente os detalhes da lei, com experiência em governança de proteção de dados e que possa estruturar um programa de compliance que garanta a segurança dos dados com ética, evitando usos desviantes ou crimes cibernéticos.

 

Ter noção dessas funções é importante para estabelecer quem será o DPO no empreendimento.

O trabalho do DPO na empresa

A LGPD exige que a identidade do Data Protection Officer seja pública e divulgada no site da empresa. Como sua função é ser esse elo de comunicação entre as partes envolvidas, cabe a ele:

  1. Dialogar com os titulares, tirando dúvidas, acatando as reclamações, prestando esclarecimentos e tomando as devidas providências em relação ao titular.
  2. Acatar demandas da Autoridade Nacional (ANPD), comunicar ao controlador, delegar e tomar providências.
  3. Trabalhar na educação de funcionários, operador e controlador da empresa, no sentido de orientá-los em relação às práticas normativas sobre a proteção de dados pessoais.
  4. executar as demandas advindas do controlador.

Ainda conforme a LGPD, a ANPD poderá determinar normas complementares de atuação do DPO, inclusive sobre necessidade ou dispensa do profissional de acordo com o porte e natureza do negócio.

Minha empresa precisa de um Data Protection Office?

O DPO ou Encarregado é uma exigência da Lei Geral de Proteção de Dados. Portanto, não tê-lo na reorganização da estrutura empresarial pode implicar em sanções ou penalidades pela ANPD.

 

É a ANPD que deve regular a atuação dos DPOs e a necessidade dele nas empresas. Na legislação europeia, para empresas com menos de 250 funcionários, a lei é menos rigorosa em relação ao DPO, mas exigido para empresas com grande volume de funcionários e, por consequência, grande fluxo de titulares e dados a serem manejados.

 

No âmbito brasileiro, sabe-se que ele deve ser designado pelo controlador, mediando os interesses dos titulares e dos empresários.

Como eleger o Data Protection Office da empresa?

O cargo pode ser exercido por um profissional da própria empresa da área jurídica ou de tecnologia da informação ou ainda por uma empresa terceirizada contratada para esse fim.

 

Já que o Data Protection Officer será responsável pela comunicação entre as partes interessadas e envolvidas na segurança dos dados, deve ser um profissional responsável e que tenha conhecimento da própria cultura organizacional, uma vez que sua atuação deve também estar alinhada com os objetivos da empresa.

 

Ele vai trabalhar de maneira integrada com o setor de Tecnologia da Informação (operador, conforme LGPD), assim como com o CEO, apresentando para ambos os lados as exigências da lei e a forma como a empresa deve agir para cumpri-las, sem sofrer penalidades.

 

Pela complexidade e grande responsabilidade da função, recomenda-se que o DPO seja exclusivamente dedicado a essa função sem acumular outras atividades. A menos que a empresa terceirize o serviço.

 

Se o caso for de terceirização, é importante verificar o histórico e experiência da empresa ou pessoa contratada no âmbito da segurança de dados. Como mencionado, pode ser alguém do campo jurídico – que atuará com propriedade no cumprimento e interpretação da lei, como pode ser alguém da área tecnológica, mas que deve também compreender bem a LGPD.

 

Especialistas ainda ponderam que profissionais de outras áreas podem também exercer a função de DPO desde que esteja ciente da cultura organizacional, da LGPD, sendo uma figura autônoma dentro da organização.

 

A Lei Geral de Proteção de Dados traz muitas informações que devem ser compreendidas e implementadas pelas empresas. Por isso, aproveite para ler outros artigos nossos abaixo:

Escrever uma resposta ou comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Junte-se a nossa comunidade e saiba como promover a Transformação Digital em sua empresa.

Inscreva-se na nossa newsletter e tenha acesso a conteúdos exclusivos que vão revolucionar a sua empresa!

Seta