fbpx

O papel do DPO

A Lei Geral de Proteção de Dados (LGPD), no §2º de seu artigo 41, traz algumas atribuições para o novo Encarregado de Dados (como nossa lei nomeou o Data Protection Officer – DPO), responsável pelas atividades de tratamento de dados pessoais de determinada organização.

Dentre elas é que o DPO deve receber e dar o tratamento adequado às comunicações, solicitações e requisições de titulares de dados pessoais e da nossa Autoridade Nacional de Proteção de Dados (ANPD). Também deve orientar os membros da organização e os terceiros contratados pela organização acerca de aspectos relacionados à privacidade de dados.

Ainda, o próprio inciso IV desse mesmo artigo deixa as empresas livres para atribuírem outras atividades a este profissional. Mas, a dúvida segue na cabeça dos líderes das organizações brasileiras: 

  • Qual perfil de profissional devo buscar? 
  • Quais as competências ideais para a função? 
  • Que atividades esse profissional deve desempenhar na minha empresa?

Para tentar auxiliar as organizações na resposta dessas difíceis perguntas, trouxemos abaixo alguns exemplos de qualidades/competências desejáveis para quem for desempenhar a função de DPO, e alguns exemplos de atividades adicionais que as empresas brasileiras podem atribuir aos profissionais que elegerem:

Expertise e qualidades desejáveis:

  1. Expertise em normas legais ou regulatórias, e em melhores práticas globais de privacidade de dados pessoais;
  2. Conhecimento profundo acerca das disposições presentes na Lei Geral de Proteção de Dados (LGPD) e nas demais legislações de privacidade aplicáveis;
  3. Experiência no gerenciamento de programas de privacidade com a sensibilidade, complexidade e volume de dados pessoais tratados pela organização;
  4. Profissional ético e íntegro;
  5. Capacidade para lidar de forma sigilosa e confidencial com dados e informações do negócio obtidas em razão do desempenho de suas funções;
  6. Liderança e experiência com gerenciamento de projetos;
  7. Capacidade de se comunicar e transmitir informações para os altos níveis de administração e de tomada de decisão da organização;
  8. Familiaridade com avaliações de riscos de privacidade e de segurança da informação;
  9. Profissional com certificações profissionais em privacidade de dados e/ou segurança da informação;
  10. Capacidade de se comunicar facilmente com titulares de dados pessoais, autoridades reguladoras e terceiros desempenhando a função de controladores ou de operadores;
  11. Autoconhecimento de seus pontos fortes e fracos para buscar seu aperfeiçoamento contínuo;
  12. Conhecimento sobre a dinâmica do setor no qual a organização atua;
  13. Entendimento suficiente das atividades de tratamento de dados pessoais conduzidas pela organização.

Exemplos de atribuições adicionais:

  1. Informar, aconselhar e tecer recomendações à organização acerca de temas relacionados à conformidade da empresa perante as obrigações presentes na LGPD; 
  2. Fomentar uma cultura de privacidade de dados na organização e auxiliar na implementação dos elementos essenciais da LGPD (como a observância dos princípios previstos para a condução de atividades de tratamento, os direitos dos titulares, ações de Privacy by Design e Privacy by Default, elaboração do registro de atividades de tratamento de dados pessoais conduzidos pela organização, salvaguardas para as atividades de tratamento, notificação e comunicação de incidentes de segurança etc.); 
  3. Aconselhar a organização:
    • Quanto à necessidade de condução de um relatório de impacto à proteção de dados (RIPD ou DPIA);
    • Quanto a qual metodologia utilizar na condução do RIPD/DPIA;
    • Quanto à necessidade de contratar um terceiro para conduzir o RIPD/DPIA (nos casos em que uma situação de conflito de interesses seja identificada, por exemplo);
    • Quanto a quais salvaguardas (sejam elas técnicas ou administrativas) são aplicáveis à atividade de tratamento pretendida de forma a promover a mitigação do risco identificado de lesão a interesses, direitos e liberdades dos titulares;
    • Quanto a se determinado RIPD/DPIA foi adequadamente performado, e, se suas conclusões estão e conformidade com as disposições trazidas pela LGPD;
  1. Manter um registro atualizado das atividades de tratamento de dados pessoais sob a responsabilidade da organização; 
  2. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e conduzir os endereçamentos pertinentes; 
  3. Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e tomar as medidas cabíveis; 
  4. Documentar todas as decisões tomadas em observância, ou não, das orientações feitas pelo DPO à organização; 
  5. Oferecer aconselhamento em caso de incidente de segurança; 
  6. Atribuições adicionais que a empresa queira conferir à função.

Esperamos que as informações aqui compartilhadas tenham contribuído para resolver algumas dúvidas de vocês. No próximo episódio de nossa série falaremos sobre aspectos relacionados a Plataformas de Privacidade.

Assista o vídeo desta semana abaixo! Para acompanhar a série e baixar recursos gratuitos da LGPD (como Oficina de LGPD na prática e Mapa Gratuito de Sistemas), basta acessar:

SAIBA MAIS

Inscreva-se no canal do YouTube e fique atento às nossas redes para não perder!

Série: 3 Minutos de Privacidade
SPIRITSEC
No Comments

Deixe uma resposta