Antes de falarmos sobre o que o profissional precisa para exercer essa importante função no que diz respeito à privacidade e proteção de dados dentro das empresas, vamos te explicar, caso ainda não saiba, o que é um DPO (Data Protection Officer) ou Encarregado de Dados.
O Data Protection Officer (DPO) ou Encarregado de Dados é o profissional que cuidará das questões relacionadas à privacidade e a proteção dos dados da organização quando do tratamento de dados pessoas que esta realiza em relação aos titulares de dados.
Sua função é auxiliar a empresa no que diz respeito a implementação do Programa de Governança de Privacidade e Proteção de Dados, bem como na disseminação e manutenção desta nova cultura dentro das organizações.
A Lei Geral de Proteção de Dados trouxe a figura do Encarregado de Dados – o qual chamamos também de DPO, entretanto, não foi clara suficientemente com relação à esta importante função para o estabelecimento do Programa de Governança. Nossa legislação prevê que a nomeação do DPO é obrigatória para os controladores, entretanto, dispõe que a ANPD poderá estabelecer normas complementares definindo responsabilidades e atribuições, podendo, inclusive, dispor sobre as hipóteses de dispensa da nomeação do encarregado de dados.
Mas você deve estar se perguntando: quem pode ser um DPO? Qual o perfil do DPO? Será que eu posso ser um DPO? O que eu preciso para exercer esta função?
Poderá ser um DPO toda a pessoa física ou jurídica, (interna ou externa) que deverá ser indicada pela empresa, com informações sobre sua identidade, bem como informações de contato veiculadas publicamente e de preferência no site da companhia.
É altamente recomendável que o DPO ou Encarregado de Dados disponha de conhecimentos jurídicos regulatórios (não é obrigatório), e que possua conhecimento acerca das práticas de tratamento de dados pessoais.
Nesse caso, você não precisa de nenhum tipo de formação para exercer esta função, basta que tenha conhecimento sobre as práticas de tratamento de dados pessoais, entenda as disposições da legislação e esteja ciente das funções que deverá desempenhar, conforme art.41 da LGPD:
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Além dessas funções, o que mais preciso saber para ser um DPO?
A atuação do DPO é extensiva tanto às empresas privadas quanto às públicas, podendo atuar como profissional celetista, ou prestador de serviço, o chamado DPO “As a service”.
Nesse contexto, o prestador de serviço será responsável por conduzir uma série de atividades junto à empresa objetivando tornar Programa de Privacidade e Proteção de Dados efetivo. Dentre as funções que este deverá desempenhar, se incluem:
– Acompanhamento integral de todo o desenvolvimento e execução do Programa de Privacidade e Proteção de Dados;
– a realização do mapeamento contínuo das atividades de tratamento de dados que a empresa realiza;
– a verificação periódica dos Relatórios de Impacto à Proteção de Dados Pessoais;
– a realização das gestão de acessos aos dados, bem como as respostas às requisições de titulares de dados, apoio, fiscalização e monitoramento do Programa;
– o treinamento dos colaboradores no sentido comunicação e conscientização;
– o olhar atento às eventuais novas regulamentações na Lei e/ou disposições da ANPD (Autoridade Nacional de Proteção de Dados, bem como demais leis setoriais que guardem relação com a atividade desenvolvida pela empresa;
– o relacionamento com a ANPD e com os titulares de dados, de modo a servir de ponte entre estes e o controlador.
Importante salientar, ainda, que a LGPD não traz a responsabilização do DPO no exercício de suas atividade. Não haverá eventual aplicação de sanção ou responsabilidades ao agente de tratamento de dados (controlador ou operador) caso ocorra violação à LGPD, visto que sua função é no âmbito consultivo, não cabendo ao DPO a adoção de nenhuma medida junto a qualquer operação de tratamento de dados. Ao controlador caberá a adoção ou não das orientações do DPO, estando sempre ciente dos riscos.
Contudo, não seria razoável eximir a responsabilidade total do DPO, que deverá ocorrer sempre em casos excepcionais de incidentes de segurança, onde reste comprovada negligência, imprudência, imperícia ou dolo capazes de induzir o agente de tratamento de dados a adotar atitude capaz de ter dado ensejo a tal ocorrência, sendo manifestamente contrária às disposições da Lei Geral de Proteção de Dados.