Qual é a função do Encarregado de Proteção de Dados ou DPO nas empresas?

Hoje veremos a importância do Encarregado de Proteção de Dados bem como as suas principais atribuições.

Este profissional é necessário nas empresas para fins de organização e centralização de decisões relacionadas à proteção e privacidade de dados. No Brasil e em Portugal, ele é conhecido como Encarregado de Proteção de Dados (EPD). A LGPD (Lei Geral de Proteção de Dados Pessoais) em seu Art 5º, inciso VIII o descreve da seguinte forma:

[...] VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); [...]

Entendendo a nomenclatura do profissional

O Brasil adotou a mesma nomenclatura de Portugal que segue o RGPD (Regulamento Geral de Proteção de Dados), conhecido na Europa por GDPR (General Data Protection Regulation). Em toda a Europa, exceto em Portugal, este profissional leva a nomenclatura de DPO (Data Protection Officer – Oficial de Proteção de Dados, em português).

Como o Brasil teve o GDPR como referência para a elaboração da LGPD, era esperado que o Brasil adotasse o padrão da Europa. Porém, no texto inicial da Lei, a nomenclatura deste profissional foi baseada em Portugal. Então, é muito provável que esta nomenclatura será ainda muito discutida com grandes chances de ser alterada futuramente após a instalação da ANPD (Autoridade Nacional de Proteção de Dados).

Qual é a função deste profissional na empresa?

O Encarregado de dados deverá ter um perfil consultivo e em momento algum deverá ser submetido a conflito de interesses entre seus deveres. Vejamos alguns de seus principais papéis na implementação e na manutenção da conformidade a LGPD:

1. Educar a empresas e seus funcionários com relação à Segurança da Informação;
2. Realizar treinamentos com os profissionais que o auxiliarão nos processos do Compliance LGPD;
3. Servir como uma ponta de comunicação entre a empresa e a ANPD (Autoridade Nacional de Proteção de Dados);
4. Servir de canal de comunicação entre a empresa e seus Titulares de Dados, através do canal de comunicação estabelecido; e
5. Oferecer soluções que melhorem as tomadas de decisões, com base em dados, às empresas para fazer com que o seu risco comercial seja reduzido aumentando assim sua competitividade no mercado.

É importante lembrar que estas são apenas as principais atribuições, pois os papéis deste profissional podem variar de empresa para empresa. Na LGPD (Lei Geral de Proteção de Dados Pessoais), na Seção II, Art. 41 é descrito de forma resumida, algumas funções que o profissional deve seguir nas empresas, vejamos:

[...] Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

§ 4º (VETADO). (Incluído pela Lei nº 13.853, de 2019) Vigência [...]

Preciso contratar um Encarregado de Proteção de Dados para a minha empresa?

Não necessariamente. Se você já tem um profissional que entenda do assunto, com o perfil citado acima e tem interesse em atuar nesta área basta indicá-lo. Agora se sua empresa não tem condições de contratar um profissional para atuar especificamente nessa área, é possível terceirizá-lo. Cada vez mais as empresas especializadas em Segurança da Informação e Compliance LGPD oferecem o DPO como um serviço, conhecido como DPOaaS. Com isso, você pode reduzir os custos com a contratação deste profissional e estar em conformidade com a lei do Brasil.

O que preciso para me tornar um Encarregado de Proteção de Dados?

A Lei não exige treinamento ou certificação específica na área. Porém, como todos nós sabemos, faz parte das boas práticas obter certificações na área para adquirir conhecimentos específicos e aprofundados no assunto. Até porque, este assunto para o Brasil é muito novo, por isso quanto mais conhecimento na área, melhor será a atuação na empresa.

O mínimo para ter um reconhecimento como Encarregado de Proteção de Dados seriam duas certificações: uma da Lei e a outra de Segurança da Informação conhecidas como PDPE (Privacy and Data Protection Essentials) e ISFS (Information Security Foundation). Ambas as certificações são emitidas pelo órgão certificador EXIN. A certificação EXIN PDPE é baseada na lei brasileira LGPD e a certificação ISFS é baseada na ISO/EIC 27001.

Agora se você quiser continuar a jornada e alcançar o título de DPO (Data Protection Officer) então você deve, além de ter as duas certificações anteriores, certificar-se em outras duas: PDPF (Privacy & Data Protection Foundation) e PDPP (Privacy & Data Protection Practitioner). Só assim você torna um especialista em Privacidade de Dados preparado tanto para atuar na LGPD (Lei Geral de Proteção de Dados Pessoais) quanto na GDPR (General Data Protection Regulation).

Por hoje é isso. Continue acompanhando esta série de artigos sobre a LGPD e caso tenha alguma dúvida sobre assunto, deixe sua dúvida nos comentários que responderei.

Até a próxima quinta-feira!