DPO: Como escolher e o que esperar?

O DPO (Data Protection Officer – Responsável de Proteção de Dados) tem uma função que é exigida pela LGPD (Lei Geral de Proteção de Dados). O artigo 41 da LGPD define as atribuições do “Encarregado pelo tratamento de dados pessoais”, nome brasileiro do DPO.


O que faz o DPO?


O DPO tem vários papeis:

  • Avaliar, classificar e apresentar os riscos relativos à LGPD e proteção de dados

  • Buscar as opções possíveis para a diminuição das ameaças

  • Incentivar a Diretoria a definir os objetivos de segurança e adequação à LGPD

  • Acompanhar os projetos de LGPD e proteção de dados

  • Informar a empresa sobre os aspectos mais específicos da segurança

  • Avaliar os processos e a documentação da empresa em relação à LGPD

  • Verificar a efetividade dos projetos técnicos de proteção de dados

  • Monitorar continuamente os “gaps” com a LGPD

  • Acompanhar as evoluções legais e regulatórias relativas à LGPD


Como escolher um DPO?


A LGPD não define se o Encarregado deve ser interno ou terceirizado. Não há exigências especificas em relação a isso.

Muitas vezes, pode fazer comparar o DPO a um contador ou um advogado terceirizado, com os seguintes pontos em comum:

  • Você não precisa dele 100% do tempo

  • Ele é um especialista altamente qualificado que conhece o seu negócio

  • Ele aponta os riscos e melhorias possíveis, de forma proativa

  • É uma pessoa de confiança


Na hora de escolher alguém para exercer a função de DPO, é importantíssimo lembrar que o DPO deve ter três características essenciais: independência, qualificação e responsabilidade.

Não e qualquer um que pode ser DPO ou que vai querer ser.

Além disso, em nenhum momento o cargo de DPO deve ser passado como sendo uma função secundária, a ser assumida por cima de muitas outras responsabilidades.


Independência (e autonomia)

O DPO deve reportar diretamente ao Diretor Executiva da empresa. Ele não pode ser subordinado a uma área específica para não introduzir a suspeita que isso favoreça mais uma área que a outra.

Além disso, ele deve ter uma autonomia total e um poder de ação suficiente para poder levantar bandeiras sobre todos os setores da empresa e tomar decisões de implementação de ações em todas as áreas, para a adequação à LGPD e a diminuição de riscos.


Qualificação

O DPO tem que sérum profissional muito qualificado, já com uma boa experiência para ter pleno domínio das diferentes partes:

  • Jurídico = o DPO não precisa necessariamente ser advogado mas ele tem que conhecer a parte jurídica da LGPD

  • Humano = o DPO deve dominar a engenharia de processos para adaptar os mesmos às exigências da LGPD e analisar os riscos. Ele também deve ser capaz de organizar campanhas de sensibilização e treinamento de todos os colaboradores

  • Técnico = o DPO deve ter experiência nas diferentes vertentes e nas ferramentas de TI que vão garantir a proteção dos dados.


Nível de responsabilidades

A LGPD exige que nome e os dados de contato do DPO sejam divulgados externamente pela empresa, na sua política pública de privacidade. Com isso, o DPO deve ser nomeado oficialmente e ele passa a assumir uma responsabilidade importante perante os titulares dos dados, os clientes da empresa e até os órgãos públicos que fiscalizam a lei. Podemos até imaginar situações onde o DPO poderia ser processado, junto com a empresa, por não respeito da LGPD.

É importante que a pessoa escolhida para ser DPO esteja plenamente ciente deste nível de responsabilidade e o aceite.



Jean Boudoy

CEO da CyberGO & Parceiro Cymeon para Divisão LGPD/Processos




Posts Em Destaque
Posts Recentes