LGPD em vigor: o que faz o DPO Data Protection Officer

Se “os dados são o novo ouro”, eles precisam ser protegidos como tal. A Lei Geral de Proteção de Dados criou uma série de novas exigências para garantir a segurança dos dados privados de usuários e clientes. Isso obriga empresas e plataformas digitais a adotarem medidas extra de Segurança da Informação para proteger os dados coletados e armazenados, garantindo que eles permaneçam livres de acessos não-autorizados e de situações acidentais ou ilícitas. Por isso, a LGPD exige um profissional responsável por estes dados. É a figura do DPO Data Protection Officer. O DPO é, então, o profissional responsável pela proteção dos dados dos funcionários da organização, das pessoas de fora da organização ou de ambos.

É obrigatório fazer curso ou formação para DPO?

Em bom português, os DPO’s serão os Encarregados de Proteção de Dados, colaboradores responsáveis por todos os processos relativos à gestão de dados. Inicialmente, a LGPD previa que os profissionais tivessem conhecimento jurídico-regulatório para atuar neste setor. Há, inclusive, bastante desinformação sobre esta exigência na Internet.

Alguns cursos e sites chegam a sugerir que o cargo de DPO exige “cursos e certificação oficial” para ser exercido.

Porém, o trecho da lei que exigia uma “formação específica” para o cargo foi vetado tanto pela Presidência da República quanto pelo Congresso. O motivo? A exigência tem “rigor excessivo” e é uma “interferência desnecessária” por parte do Estado na seleção dos profissionais que atuarão na função, conforme disposto abaixo:

Razão do veto

“A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.”

Logicamente, isso não significa que cursos e certificações na área sejam inválidos, muito pelo contrário! Toda formação e capacitação é bem vinda, e é de extrema importância qualificar profissionais da empresa para que possam atuar na gestão de dados! Porém, com o veto, a certificação e os cursos deixam de ser obrigatórios.

Por isso, desconfie de anúncios e ofertas de cursos que alardeiam a obrigatoriedade da formação que estas funções sejam exercidas.

DPO: diferenças entre Controlador e Operador de Dados

O setor de DPO pode envolver mais de um profissional, já que dependendo do tamanho da organização o volume de dados pode ir de “incrivelmente grande” até “inimaginável”.

Por conta da natureza da atividade, é recomendável que os profissionais designados para o setor de DPO Data Protection Officer tenham conhecimentos em legislação, experiência em Governança de Dados e entendam bastante de Segurança da Informação.

A principal diferença entre Controlador e Operador de Dados está no poder de decisão, que é hierárquico. Enquanto o Controlador de Dados é o responsável geral pelas informações, o Operador de Dados é quem atua diretamente sobre os dados, com ordens subordinadas ao Controlador.

Com a obrigação da criação de um setor Encarregado de Proteção de Dados dentro das empresas, o Estado brasileiro prepara-se também para a fiscalização e aplicação de pesadas multas referentes a vazamentos, acessos ilegais ou não-autorizados de dados protegidos.

O que diz a LGPD sobre as funções de DPO Data Protection Officer

As atividades e atribuições do DPO Data Protection Officer são definidas pelo Artigo 41 da Lei Geral de Proteção de Dados (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018).

Art. 41. O Controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do Encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do Controlador.

§ 2º As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da Autoridade Nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3º A Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

As atribuições do DPO incluem:

• Treinamento e orientação de colaboradores e contratados;
• Amplo apoio ao mapeamento de processos, inventário e levantamento dos fluxos de dados da empresa;
• Definição dos ciclos de vida dos dados;
• Atenção às solicitações dos Públicos Externo e Interno (direta ou indiretamente), prestando esclarecimentos e adotando providências para assegurar que os direitos dos titulares sobre seus dados estão sendo garantidos e respeitados;
• Estar atento às alterações na Legislação vigente para verificar novas atribuições estabelecidas em normas complementares;
• Ser proativo, apresentando soluções e alternativas antecipando problemas e
• Receber comunicações da ANPD e adotar providências.

Portanto, o DPO é o elo da empresa com a entidade responsável por orientar, fiscalizar e punir as denúncias de violação da Lei Geral de Proteção de Dados. O órgão governamental com quem o DPO deve manter contato direto é a…

Autoridade Nacional de Proteção de Dados

A ANPD é uma agência autônoma ligada à Presidência da República, e tem entre as suas atribuições a proteção de dados pessoais e da privacidade. Deve, sobretudo, realizar a fiscalização do cumprimento da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD). Sua criação foi sancionada em 8 de julho de 2019, embora na prática a agência ainda não esteja em atividade.

Além de órgão fiscalizador, a ANPD deve atuar também como orientadora e apoiadora dos órgãos de governo e sociedade civil na aplicação da LGPD. Segundo informações do próprio governo, o papel inicial da Autoridade Nacional de Proteção de Dados será a de “orientar, orientar e orientar”, sempre de modo a prevenir o mau uso de dados.

Somente após as sucessivas orientações vêm as fiscalizações e advertências, para só então chegar-se à punição efetiva em casos de violações da LGPD denunciadas à ANPD.

Como está a preparação da sua empresa para a LGPD?

A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020. Por isso, as empresas precisam correr contra o tempo para adequarem seus processos e infraestrutura de captação e armazenamento de dados para as novas exigências. Esta adequação exige planejamento e execução impecáveis para garantir que o patrimônio da empresa – dados de clientes, colaboradores, fornecedores e parceiros – sejam rigorosamente protegidos.

A Rastek Soluções em TI conta com profissionais qualificados e altamente capacitados nas questões de Legislação, nas questões técnicas de infraestrutura de Tecnologia e Segurança da Informação e também de terceirização de DPO Data Protection Officer! Por isso, não perca tempo: entre em contato conosco pelo formulário abaixo e inicie o processo de adequação da sua empresa agora mesmo!

Leia também:

LGPD em vigor: qual é o impacto para as empresas?