
O papel do DPO
A Lei Geral de Proteção de Dados (LGPD), no §2º de seu artigo 41, traz algumas atribuições para o novo Encarregado de Dados (como nossa lei nomeou o Data Protection Officer – DPO), responsável pelas atividades de tratamento de dados pessoais de determinada organização.
Dentre elas é que o DPO deve receber e dar o tratamento adequado às comunicações, solicitações e requisições de titulares de dados pessoais e da nossa Autoridade Nacional de Proteção de Dados (ANPD). Também deve orientar os membros da organização e os terceiros contratados pela organização acerca de aspectos relacionados à privacidade de dados.
Ainda, o próprio inciso IV desse mesmo artigo deixa as empresas livres para atribuírem outras atividades a este profissional. Mas, a dúvida segue na cabeça dos líderes das organizações brasileiras:
- Qual perfil de profissional devo buscar?
- Quais as competências ideais para a função?
- Que atividades esse profissional deve desempenhar na minha empresa?
Para tentar auxiliar as organizações na resposta dessas difíceis perguntas, trouxemos abaixo alguns exemplos de qualidades/competências desejáveis para quem for desempenhar a função de DPO, e alguns exemplos de atividades adicionais que as empresas brasileiras podem atribuir aos profissionais que elegerem:
Expertise e qualidades desejáveis:
- Expertise em normas legais ou regulatórias, e em melhores práticas globais de privacidade de dados pessoais;
- Conhecimento profundo acerca das disposições presentes na Lei Geral de Proteção de Dados (LGPD) e nas demais legislações de privacidade aplicáveis;
- Experiência no gerenciamento de programas de privacidade com a sensibilidade, complexidade e volume de dados pessoais tratados pela organização;
- Profissional ético e íntegro;
- Capacidade para lidar de forma sigilosa e confidencial com dados e informações do negócio obtidas em razão do desempenho de suas funções;
- Liderança e experiência com gerenciamento de projetos;
- Capacidade de se comunicar e transmitir informações para os altos níveis de administração e de tomada de decisão da organização;
- Familiaridade com avaliações de riscos de privacidade e de segurança da informação;
- Profissional com certificações profissionais em privacidade de dados e/ou segurança da informação;
- Capacidade de se comunicar facilmente com titulares de dados pessoais, autoridades reguladoras e terceiros desempenhando a função de controladores ou de operadores;
- Autoconhecimento de seus pontos fortes e fracos para buscar seu aperfeiçoamento contínuo;
- Conhecimento sobre a dinâmica do setor no qual a organização atua;
- Entendimento suficiente das atividades de tratamento de dados pessoais conduzidas pela organização.
Exemplos de atribuições adicionais:
- Informar, aconselhar e tecer recomendações à organização acerca de temas relacionados à conformidade da empresa perante as obrigações presentes na LGPD;
- Fomentar uma cultura de privacidade de dados na organização e auxiliar na implementação dos elementos essenciais da LGPD (como a observância dos princípios previstos para a condução de atividades de tratamento, os direitos dos titulares, ações de Privacy by Design e Privacy by Default, elaboração do registro de atividades de tratamento de dados pessoais conduzidos pela organização, salvaguardas para as atividades de tratamento, notificação e comunicação de incidentes de segurança etc.);
- Aconselhar a organização:
- Quanto à necessidade de condução de um relatório de impacto à proteção de dados (RIPD ou DPIA);
- Quanto a qual metodologia utilizar na condução do RIPD/DPIA;
- Quanto à necessidade de contratar um terceiro para conduzir o RIPD/DPIA (nos casos em que uma situação de conflito de interesses seja identificada, por exemplo);
- Quanto a quais salvaguardas (sejam elas técnicas ou administrativas) são aplicáveis à atividade de tratamento pretendida de forma a promover a mitigação do risco identificado de lesão a interesses, direitos e liberdades dos titulares;
- Quanto a se determinado RIPD/DPIA foi adequadamente performado, e, se suas conclusões estão e conformidade com as disposições trazidas pela LGPD;
- Manter um registro atualizado das atividades de tratamento de dados pessoais sob a responsabilidade da organização;
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e conduzir os endereçamentos pertinentes;
- Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e tomar as medidas cabíveis;
- Documentar todas as decisões tomadas em observância, ou não, das orientações feitas pelo DPO à organização;
- Oferecer aconselhamento em caso de incidente de segurança;
- Atribuições adicionais que a empresa queira conferir à função.
Esperamos que as informações aqui compartilhadas tenham contribuído para resolver algumas dúvidas de vocês. No próximo episódio de nossa série falaremos sobre aspectos relacionados a Plataformas de Privacidade.
Assista o vídeo desta semana abaixo! Para acompanhar a série e baixar recursos gratuitos da LGPD (como Oficina de LGPD na prática e Mapa Gratuito de Sistemas), basta acessar:
Inscreva-se no canal do YouTube e fique atento às nossas redes para não perder!