Data Protection Officer (DPO), ou Encarregado, vai ser um canal de comunicação entre a empresa, a ANPD e os titulares dos dados pessoais.
Principais destaques:
- LGPD entra em vigor em agosto de 2020 e exige, das empresas, um Data Privacy Officer (DPO);
- O DPO, também chamado de Encarregado, será a ponte entre empresa, a Agência Nacional de Proteção de Dados (ANPD) e os titulares dos dados pessoais;
- Empresas de todos os portes devem pensar em contratar um DPO para os seus negócios;
- Marcella Costa, advogada especialista em inovação, explica a importância do Encarregado para as empresas.
A Lei Geral de Proteção de Dados (LGPD) entra em vigor a partir de agosto de 2020. As empresas, além de adequarem seus negócios para estar em conformidade com a legislação, devem ter em mente a contratação de um Data Protection Officer (DPO).
O motivo? O principal é que a LGPD (ainda) obriga que esse profissional seja contratado por qualquer empresa que faça tratamento de dados. Independentemente do seu tamanho. Pelo menos por enquanto, já que a Agência Nacional de Proteção de Dados (ANPD) poderá criar regras menos rigorosas para empresas de menor porte.
Este profissional será responsável por fazer a ponte entre titular dos dados, a ANPD e as organizações. Por aqui, a legislação brasileira denominou o cargo de DPO como “Encarregado”.
Para explicar melhor a importância do DPO nas empresas e por que elas devem considerar a contratação desse profissional, o Mundo + Tech conversou por e-mail com Marcella Costa, sócia do LLCO Advocacia, escritório especializado em inovação.
Mundo + Tech: O que é um DPO?
Marcella Costa: DPO é a sigla para Data Protection Officer, novo tipo de profissional introduzido pelo General Data Protection Regulation (GDPR), o regulamento europeu que serviu de inspiração e referência para a Lei Geral de Proteção de Dados (LGPD).
Na legislação brasileira, esse profissional foi denominado “Encarregado” e eu diria que suas funções envolverão basicamente as habilidades de comunicação, educação e gestão de risco [das empresas].
MMT: Quais serão as funções do DPO?
MC: O Encarregado deverá ser um canal de comunicação entre a empresa, a ANPD e os titulares dos dados pessoais. Esses titulares podem ser clientes, funcionários, parceiros, entre outros.
Fazendo um paralelo com o GDPR, podemos citar alguns outros exemplos de atividades do DPO: auxiliar a empresa no processo de adaptação, na estruturação e monitoramento de um programa de compliance com foco em proteção de dados, na orientação e esclarecimento de dúvidas das diversas áreas internas, dos titulares de dados, na orientação ao desenhar um novo produto, entre outros.
Importante destacar que a ANPD poderá criar normas complementares com outras atribuições para o Encarregado.
MMT: E quais serão as suas responsabilidades?
MC: Quanto às responsabilidades, o Encarregado deverá agir com autonomia e independência e não poderá sofrer penalidades ou ser demitido em decorrência do exercício de sua função. Vale esclarecer, ainda, que a responsabilidade pelo cumprimento da LGPD é do controlador (empresa que demanda o tratamento de dados) ou do operador (que faz o tratamento de dados).
O Encarregado não poderá ser responsabilizado, na pessoa física, pelo cumprimento ou não das obrigações previstas em lei, exceto, claro, se comprovado ter agido de má-fé e em desacordo com as orientações e posicionamento de seu empregador.
FIQUE POR DENTRO: Como garantir a privacidade e estar de acordo com as leis de proteção de dados?
MMT: Quem pode ser um DPO? É cargo de uma pessoa só ou de um time?
MC: [Pode ser DPO] uma pessoa física ou jurídica, interna ou contratada, que poderá acumular outras funções desde que possa exercer tal atividade com independência e autonomia.
A LGPD determina que a identidade e as informações de contato do DPO deverão ser divulgadas, de forma clara e objetiva, preferencialmente no site do controlador.
[As empresas] deverão indicar uma única pessoa para ocupar o papel de Encarregado, mas elas poderão estruturar programas de governança em proteção de dados pessoais. Por exemplo, criar comitês multidisciplinares com profissionais de diferentes áreas para discutir ações, implementação e gestão do tema em sua empresa.
MMT: Quem seria a pessoa mais indicada a se tornar um DPO?
MC: O Encarregado pode ser qualquer profissional, de qualquer área, mas geralmente são da área jurídica ou de tecnologia da informação.
A versão final da LGPD deixou de exigir que o Encarregado tenha conhecimento jurídico regulatório, mas a associação desse skill com outras habilidades será fundamental para o exercício da função de DPO.
Esse profissional deverá conhecer bem o negócio da empresa, a legislação em proteção de dados, as questões de segurança da informação e, claro, tenha habilidade em se comunicar.
MMT: O que torna o profissional apto ao cargo de DPO?
MC: Não existe uma formação específica para o cargo de DPO, mas já existem certificações voltadas para essa função. Elas buscam oferecer tanto qualificação jurídica como em segurança da informação. A empresa holandesa Exin, por exemplo, está apta a certificar profissionais na área de tecnologia para atuar inclusive em âmbito internacional.
FIQUE POR DENTRO: Inteligência Artificial é uma aliada para empresas se adequarem à LGPD
MMT: O DPO deve estar presente em todas as empresas?
MC: A LGPD não fez distinções ou apresentou hipóteses de dispensas da obrigatoriedade de indicar um DPO. Teoricamente, todas as empresas que tratem dados pessoais, de qualquer tamanho, deverão ter um DPO. Porém, a versão final do texto da LGPD trouxe a possibilidade de a Autoridade Nacional vir a criar hipóteses de exceção.
MMT: Quais os riscos para a empresa que não contratar um DPO?
MC: Como a indicação de um DPO é uma obrigação prevista na LGPD, seu descumprimento poderá ensejar a aplicação de uma das penalidades definidas na lei.
Essas penalidades podem ir desde advertência, passando por publicização da infração e culminando na aplicação de multa, fixa ou diária, limitada a R$ 50 milhões por infração.
MMT: Com a lei em vigor, você acha que não ter um DPO vai ser fator que irá gerar multas para as empresas?
MC: Esperamos que a ANPD inicie sua atuação com um caráter mais educativo do que punitivo. Para empresas de grande porte, não há dúvidas da necessidade de ter um DPO assim que a lei entrar em eficácia.
Mas e as startups? Empresas de pequeno porte? Se já não houver uma norma regulando uma eventual dispensa de acordo com o porte da empresa, a ANPD deverá analisar caso a caso, verificar a particularidade e as características de cada empresa.
Na Europa, por exemplo, foram criadas regras menos rigorosas para empresas com menos de 250 funcionários.