A Lei Geral de Proteção de Dados – Lei nº 13.709/2018, seguindo as diretrizes do regulamento europeu de proteção de dados pessoais (General Data Protection Regulation – GDPR) trouxe a previsão legal (art. 5º, VIII) da figura do Encarregado de dados, comumente conhecido como DPO – Data Protection Officer.
Segundo a redação dada pelo art. 5º, VIII, da LGPD, o DPO pode ser tanto uma pessoa física quanto jurídica indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Recentemente, a ANPD, cumprindo a sua agenda regulatória, editou a Resolução CD/ANPD nº 2/2022, em que estabeleceu critérios mais flexíveis para agentes de tratamento de pequeno porte. Dentre as flexibilizações previstas, houve a dispensa da obrigatoriedade da figura do DPO (art. 11). Entretanto, devemos pontuar que a figura do DPO continua sendo vista como uma boa prática no Programa de Governança de Dados, assegurando de forma efetiva o cumprimento das obrigações legais previstas na LGPD.
Apesar de não se exigir legalmente qualquer título e/ou especialização para desempenhar o cargo de DPO, é indispensável que ele possua amplo conhecimento regulatório e jurídico sobre o tema de privacidade e proteção de dados pessoais, além de habilidades em segurança da informação, gestão de projetos, liderança entre outros.
Você quer saber exatamente o que faz um DPO?
Um DPO tem por atribuição legal (art. 42, § 2º, LGPD): (i) aceitar reclamações e comunicações dos titulares; (ii) prestar esclarecimentos e adotar providências; (iii) receber comunicações da autoridade nacional e adotar providências; (iv) orientar os funcionários e os contratados da entidade a respeito das boas práticas a serem tomadas em relação à proteção de dados pessoais; e (v) executar as demais atribuições determinadas pelo controlador/operador ou estabelecidas em normas complementares.
Mas não para por aí!
Para além das obrigações legais, o DPO deve ainda: (i) formular regras de boas práticas para o bom funcionamento do Programa de Governança de Privacidade; (ii) garantir a aplicação e a eficácia dos princípios da LGPD para o tratamento de dados pessoais; (iii) elaborar o mapeamento do ciclo de vida dos dados pessoais; (iv) determinar e documentar a base legal utilizada para o tratamento de dados pessoais; (v) avaliar as atividades que geram riscos à organização e aos titulares de dados; (vi) entender quais são as normas aplicáveis à empresa; (vii) definir as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais; (viii) monitorar a conformidade da organização com a LGPD; (ix) elaborar Registros das Operações de Tratamento de Dados Pessoais e Relatórios de Impacto de Proteção de Dados Pessoais; (x) realizar treinamentos e capacitações aos colaboradores; (xi) auxiliar na condução de incidentes de segurança da informação, entre outros.
Com isso, podemos observar que um DPO desempenha papel fundamental no Programa de Governança de Dados, fazendo com que a empresa mantenha-se em permanente estado de conformidade com a LGPD, evitando assim eventuais sanções administrativas dos órgãos fiscalizadores e possíveis ações judiciais.
Mas por que a sua empresa deve optar por contratar um DPO as a service?
Em que pese não haja nenhum impedimento legal quanto a nomeação de um colaborador interno da empresa para desempenhar o cargo de DPO, ficou claro que tal colaborador deve reunir habilidades específicas, o que torna difícil, em muitos casos, encontrar tal profissional dentro da empresa, sem contar que em muitos casos pode ocorrer conflitos de interesse, o que prejudicaria o perfeito desempenho da função.
Para isso, a alternativa viável que se apresenta, é a nomeação de um DPO as a service, ou seja, um DPO “terceirizado” contratado para desempenhar esse papel. O DPO as a service apresenta inúmeras vantagens e benefícios para a empresa, dentre eles podemos citar: (i) profissional tecnicamente capacitado para desempenhar a função; (ii) redução de custos salariais e de encargos trabalhistas; (iiI) redução dos custos com certificações, capacitações e treinamento de colaboradores; e (iv) ausência de conflitos de interesse; e (v) a empresa pode manter o foco no seu core business.
Foi pensando nisso e com o propósito de auxiliar empresas que enfrentam este dilema, que o escritório Rafael Bonfim Advocacia e Consultoria, desenvolveu uma consultoria de DPO as a service personalizada para o seu modelo de negócio.
Se faz sentido para a sua empresa contratar um DPO as a service, te convidamos a conhecer a nossa solução.
1º link de referência do artigo
2º link de referência do artigo