A Lei Geral de Proteção de Dados (LGPD) é uma lei de proteção à privacidade que tem implicações de longo alcance. E na raiz de tudo isso estão as mudanças estruturais significativas que uma organização deve realizar para estar em conformidade com a LGPD.
O custo de conformidade é desafiador e ninguém quer estar em falta com a LGPD. Nomear um Data Protection Officer (DPO) é um desses requisitos para a conformidade.
No entanto, esse requisito não é um conceito totalmente novo. Muitas organizações já têm essa função em vigor, seja como parte de um escritório de compliance, seja para definir a referência do setor internamente. Mas, pela primeira vez, a nomeação de um DPO se tornou um requisito obrigatório para um grupo muito grande de organizações.
De acordo com a LGPD, todas as organizações devem contratar um Data Protection Officer? Qual é o seu papel e responsabilidade? Para quem eles reportaram?
Muitas dessas perguntas ainda estão persistindo nas mentes dos executivos que foram incumbidos da tarefa de tornar suas respectivas organizações compatíveis com a LGPD.
Continue a leitura desse artigo e conheça o que você precisa saber sobre a importância do DPO perante a LGPD.
Quem é o DPO (Data Protection Officer) segundo a LGPD?
Um Data Protection Officer (DPO) é uma função que supervisiona o processamento de dados pessoais de funcionários, clientes ou quaisquer outros titulares de dados por uma empresa para garantir que isso seja feito de acordo com as leis de proteção de dados relevantes.
Um DPO atua efetivamente como um mediador entre sua empresa e os titulares dos dados, bem como a ANPD (Autoridade Nacional de Proteção de Dados). Eles principalmente indicam caminhos de desenvolvimento e eficiência, que privilegiam o desenho da privacidade e da proteção de dados. Além disso, eles alinham uma estratégia de avaliação de risco para manter a conformidade com os regulamentos e proteger os direitos dos titulares dos dados.
Os titulares dos dados (ou seja, as pessoas identificadas pelas informações pessoais) também estão mais cientes de seus direitos e como exercê-los, o que significa que os DPOs estão se tornando mais comuns e essenciais nas empresas.
Quais as responsabilidades e tarefas de um DPO (Data Protection Officer)?
O DPO é uma pessoa com um papel misto de aconselhamento e controle, e ele deve ter pelo menos as seguintes tarefas:
- Informar e aconselhar o responsável pelo tratamento ou o processador dos dados, assim como os colaboradores da empresa, para que cumpram com suas obrigações nos termos da lei e outras disposições da LGPD em matéria de proteção de dados.
- Fiscalizar o cumprimento da LGPD em matéria de proteção de dados e das políticas de proteção de dados, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal envolvido nas operações de tratamento e as respectivas auditorias. Essas tarefas de monitoramento de conformidade incluem:
- Coletar informações para identificar atividades de processamento.
- Analisar e verificar a conformidade das atividades de processamento
- Informar, aconselhar e emitir recomendações ao controlador ou ao processador.
- Fornecer aconselhamento quando solicitado.
- Cooperar com a ANPD (Autoridade Nacional de Proteção de Dados).
- Atuar como ponto de contato da ANPD sobre questões relacionadas com o tratamento e consultar, se necessário, sobre qualquer outro assunto.
A LGPD exige que os DPOs priorizem suas atividades e concentrem seus esforços em questões que apresentam maiores riscos de proteção de dados e podem ser delegadas a ele para gerenciar o registro das atividades de processamento.
Além disso, o DPO deve estar envolvido, correta e prontamente, em todas as questões relacionadas à proteção de dados pessoais e a organização deve garantir que:
- O DPO participa regularmente de reuniões da alta gerência.
- O DPO está presente nas reuniões onde são tomadas decisões com implicações na proteção de dados.
- A opinião do DPO deve ser sempre levada em consideração. Em caso de desacordo, é recomendado como boa prática, documentar as razões para não seguir o conselho do DPO.
- O DPO deve ser consultado assim que ocorrer uma violação de dados.
Quais são as qualificações necessárias para um DPO (Data Protection Officer)?
A escolha desta função deverá ser feita com atenção, verificando a posse de competências tendo em consideração de forma adequada as questões específicas de proteção de dados de cada organização individual.
As habilidades e conhecimentos relevantes incluem:
- Conhecimento das leis e práticas de proteção de dados nacionais e europeias, incluindo uma compreensão aprofundada da LGPD.
- Compreensão das operações de processamento realizadas.
- Compreensão de tecnologia de informação e segurança de dados.
- Conhecimento do setor empresarial e da organização.
- Capacidade de promover uma cultura de proteção de dados dentro da organização.
Todas as empresas precisam de um DPO (Data Protection Officer)?
Desde a introdução da LGPD, ainda não existe uma posição formal da ANPD sobre quais empresas são legalmente obrigadas a ter um DPO.
Dessa forma, para responder a esta pergunta recorremos ao que é praticado pela GDPR (Regulamento Geral sobre a Proteção de Dados) para ter algum direcionado do que pode ser adotado pela LGPD.
Assim, de acordo com a GDPR, sua empresa precisará nomear um DPO se:
- Você é uma autoridade ou órgão público. Você precisará de um DPO se for uma autoridade ou órgão público. Exemplos disso seriam escolas, hospitais, governos locais ou qualquer órgão público.
- Suas atividades principais envolvem monitoramento em larga escala, regular e sistemático de indivíduos. O monitoramento em grande escala, regular e sistemático inclui rastreamento e criação de perfis. Por exemplo, pode-se dizer que o uso de câmeras ou varejistas monitorando as pesquisas de sua base de clientes para direcionar melhor os anúncios se enquadram nesta categoria.
- Suas atividades principais envolvem o processamento em grande escala de dados de categorias pessoais. Se sua empresa estiver processando dados de categorias pessoais, você é legalmente obrigado a nomear um DPO. Dados de categoria pessoal são dados sensíveis que se enquadram nas seguintes categorias: dados genéticos, filiação sindical, saúde, orientação sexual, raça ou etnia, opiniões políticas e identificação de dados biométricos
Se sua empresa não se enquadrar em nenhum desses critérios, você ainda precisará nomear alguém como responsável pelos dados públicos, portanto, um DPO é recomendado de qualquer maneira.
Qual é o lugar do DPO (Data Protection Officer) dentro de uma empresa?
A função DPO pode ser preenchida por alguém que já trabalhe para sua organização. É recomendado que este profissional tenha dedicação a função de proteção de dados, porém é possível executar outras funções desde que não existam conflitos de interesse.
Por exemplo, alguém em seu departamento de marketing não pode ser seu DPO, pois provavelmente é ele quem decide o que está sendo feito com os dados pessoais. Como alternativa, você pode atribuir a alguém a função exclusiva de DPO.
A ausência de conflito de interesses é essencial. Significa que, em caso de designação interna, o DPO não pode ocupar cargo na organização que o leve a determinar os fins e os meios de tratamento dos dados pessoais.
Você também pode terceirizar essa função para uma empresa externa. Isso geralmente é visto como um método mais econômico, permitindo que as empresas paguem apenas pelo tempo necessário.
Os DPOs terceirizados também já terão o conhecimento necessário em proteção de dados para desempenhar a função e, trabalhando com várias empresas, terão um conjunto mais amplo de conhecimentos em vários setores.
Considerações Finais
Com o DPO certo, a conformidade será da mais alta qualidade e você pode ter certeza de que sua empresa está livre de quaisquer problemas legais relacionados à não conformidade com a LGPD.
Ter um DPO é um bom negócio no ecossistema de um mundo movido a dados. Essa função é essencialmente uma rede de segurança para o cuidado e a segurança dos dados do cliente. Pensar na função dessa forma leva a percepções que podem oferecer uma vantagem competitiva à sua empresa.
Se você estiver procurando por um DPO, certifique-se de usar essas orientações recomendadas para encontrar o profissional certo. Se você atualmente possui um DPO, certifique-se de que ele possui o conhecimento e as certificações mais atualizadas com os nossos programas. Conheça nossos treinamentos agora mesmo.