O DPO (Data Protection Officer ou Encarregado do Tratamento de Dados em português) é o profissional indicado para garantir a segurança e privacidade dos dados das empresas e dos seus clientes, em conformidade com a LGPD, a Lei Geral de Proteção de Dados.

Com a crescente digitalização, o acesso às informações nunca foi tão fácil, com dados sendo coletados, armazenados e compartilhados o tempo todo, assim, compreender os direitos das pessoas – e as medidas tomadas para garantir esses direitos  – é essencial, tornando o tema urgente e tão atual. 

No entanto, tanto a Lei Geral de Proteção de Dados, quanto à profissão inédita e imprescindível criada por conta dela, intitulada DPO, ainda geram muitas dúvidas. Neste artigo, buscaremos esclarecê-las, explicando alguns aspectos legais, funções do cargo, certificações para se tornar um Data Protection Officer e mais. 

O que é DPO? 

O termo DPO (Data Protection Officer) pode ser traduzido para algo como “Encarregado da Proteção de Dados”. O objetivo deste profissional é garantir que todas as informações que envolvem as empresas sejam tratadas de forma adequada e fiquem seguras. Ou seja, o DPO guia e fiscaliza as organizações, visando proteger seus dados e dos clientes, colaboradores e fornecedores. 

Tal atuação segue regras específicas da Lei Geral de Proteção de Dados (ou simplesmente, LGPD) que traz diretrizes sobre a coleta, manuseio e armazenamento dos dados – falaremos com detalhes sobre a Lei à frente. 

Qual a importância de um Data Protection Officer?

Usamos a internet para nos comunicar, comprar, vender itens, pedir um transporte e muito mais. Assim, muitas empresas acabam armazenando um número recorde de dados sobre nós. É dessa forma que conseguem monitorar o comportamento dos usuários que acessam suas plataformas ou interagem nas suas redes sociais. 

E como dizia o famoso diretor Stan Lee: “Com grandes poderes, vêm grandes responsabilidades”. Nesse sentido, as marcas precisam ser cuidadosas com o armazenamento dessas informações, protegendo seus clientes de invasões e vazamentos que possam levar ao uso malicioso. 

E é justamente nesse contexto que o Data Protection Officer entra em cena. De extrema importância para garantir a segurança e privacidade das empresas e dos consumidores, o seu papel é previsto por legislação nacional e acordos internacionais sobre segurança na internet.

Entenda a Proteção de Dados no Brasil 

Em vigor desde 2020 para colocar um freio na forma com que as informações estavam sendo tratadas, dando aos seus titulares a ciência de quais dados estão sendo utilizados, porquê, para quê e até quando, a Lei Geral de Proteção de Dados, nº. 13.709/18, está sendo tão revolucionária no meio jurídico no Brasil, quanto foi o Código de Defesa do Consumidor em 1990. 

Mais conhecida como LGPD, a lei tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais físicos e digitais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais. 

Mesmo ainda em fase de adoção pelas empresas brasileiras – diferentes de países da Europa onde as práticas de segurança já são comuns – , a LGPD é uma garantia de que a maneira como os dados estão sendo coletados, armazenados e usados está sendo ética.  

Não à toa, é uma Lei satisfatória tanto para empresários quanto para consumidores que estão cada vez mais questionadores quando o assunto é segurança, o que explica sua crescente presença dentro das estruturas das grandes empresas.

Por que para os negócios jurídicos, a LGPD e o DPO também são tão importantes? 

Não é só por suprir as necessidades da sociedade que a LGPD está em voga. A Lei exige que qualquer organização que lide com mais de 5 mil registros de dados por ano precise ter um profissional dedicado ao tratamento dos dados. Sendo assim, no universo empresarial a atuação deste profissional não é mais uma escolha, é uma condição. 

Assim, as empresas que descumprirem os regulamentos e não aplicarem corretamente um DPO poderão sofrer sanções e penalidades dispostas em lei. As previsões legais incluem desde advertências e suspensões parciais de atividades, até multas, além de claro, danos à reputação. 

Vale lembrar que, algumas exceções poderão ser listadas pela Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil. 

Isso porque, se prevê a possibilidade de alterações mediante deliberação do Conselho Diretor, conforme a conveniência e a oportunidade da ANPD, bem como mediante aprovação de propostas que podem ser enviadas por meio dos canais de atendimento do órgão. 

Dessa forma, há a possibilidade de regras menos rígidas serem formuladas para abranger a realidade das empresas de menor porte, por exemplo, mesmo que a Agenda Regulatória elaborada pela ANPD não tenha previsto a elaboração de normativos que tratem das particularidades de determinados setores ou atividades até este momento. 

De todo modo, fica clara a importância do Data Protection Officer para qualquer negócio que realize processamento de dados pessoais e queira se manter longe de problemas, sendo um alerta para grandes bancas e departamentos jurídicos, que lidam diariamente com grandes empreendimentos e enormes volumes de dados. 

Quem pode ser um DPO?

Por ser uma área de atuação com desenvolvimento recente, as características obrigatórias de um Data Protection Officer ainda não são claras. 

O que podemos dizer é que este profissional deve ter pleno conhecimento em gestão da informação e principalmente nas regulamentações estabelecidas pela LGPD. Por conta disso, a maioria possui formação acadêmica na área de advocacia, embora não seja uma regra, não exigindo qualquer formação superior em Direito.

Ainda assim, a decisão da OAB-SP, de que a função de DPO pode ser ocupada por advogados e sociedade de advogados vem colaborando e muito para que o mercado cumpra com essa necessidade gerada pela LGPD.

No mais, com o devido estudo e preparação, cientistas da informação ou analistas de dados também podem exercer a função de maneira satisfatória. Seja qual for a área, entre as sugestões de habilidades (também chamadas de skills) e competências que as organizações buscam, podemos citar:

• Capacidade de coordenar com várias partes e supervisores; 
• Experiência com leis de privacidade tais quais a LGPD, GDPR e CPRA/CCPA;
• Experiência com infraestrutura de TI (incluindo certificação em padrões de segurança da informação); 
• Experiência na realização de auditorias de sistemas de informação e avaliações de risco; 
• Habilidades de comunicação para abordar públicos de vários departamentos com diferentes níveis de conhecimento.

Mais à frente daremos algumas boas dicas de certificações. Continue a leitura! 

Quais as principais responsabilidades de um DPO?

Como vimos, o DPO  é o profissional responsável por supervisionar todo o procedimento de processamento de dados pessoais dentro das empresas, com orientações sobre as melhores práticas a respeito de privacidade de informações sensíveis e servindo como ponte de contato entre os empreendimentos e a Lei.  

Como se trata de uma novidade em termos jurídicos, não há como prever como será a demanda de trabalho. Mas, como praticamente todas as grandes companhias trabalham com dados de clientes no mundo digital, é de se imaginar que o volume de casos e dúvidas seja alto. 

Outro ponto de destaque além do fluxo de trabalho, é que independente da área do profissional, transparência e responsabilidade são dois conceitos básicos que devem guiar sua atuação, que pode envolver tarefas como:

• Mapear todos os dados que são coletados e armazenados na empresa;
• Garantir que os procedimentos de coleta, armazenamento e processamento estejam de acordo com as regras da LGPD;
• Elaborar e atualizar uma política de privacidade que demonstre e explique aos titulares, de maneira acessível e clara, como e para que esses dados serão utilizados; 
• Cooperar com a ANPD (Autoridade Nacional de Proteção de Dados);
• Atender as requisições dos titulares, garantindo que eles possam exercer todos os direitos citados anteriormente; 
• Educar a empresa e sua equipe sobre os parâmetros de conformidade legal, prezando pelo treinamento dos profissionais que estejam envolvidos nos processos de manuseio de informações as quais necessitam de segurança, para que todos os processos corporativos levem em consideração a mentalidade “privacy-first”;
• Apoiar a equipe de TI na inclusão de cláusulas claras e objetivas de consentimento, para que os clientes fiquem plenamente cientes do que será realizado internamente com seus dados pessoais.

Para tanto, uma importante atitude que deve ser adotada pelo DPO é a constante integração com o departamento de TI da empresa, visando a criação de mecanismos técnicos que garantam a proteção efetiva dos dados e a eliminação de qualquer falha na segurança que venha a ocorrer.

A fim de cumprir com suas responsabilidades, é importante que o DPO não possua outros cargos ou funções paralelas que possam expressar conflitos de interesse. O foco é manter o profissional 100% dedicado às suas competências relacionadas à proteção de dados.

Quais as responsabilidades do DPO perante vazamentos de dados? 

Mesmo com investimentos e esforços em segurança da informação, incidentes podem acontecer. No caso de um episódio de vazamento de dados, é o DPO que fará a ponte de comunicação entre a empresa e a ANPD, tal como quaisquer outros órgãos competentes que venham a se envolver na investigação.

Por isso, é importante que este profissional, além de certificado, tenha uma boa comunicação interpessoal e saiba lidar com crises. 

Quais especializações recomendadas para ser um Data Protection Officer?

Ainda não há um curso de graduação ou especialização com foco na capacitação de profissionais DPO, mas a grande demanda por parte das empresas colocou em evidência algumas certificações que podem ser úteis para o cargo.

• “Fundamentos em Segurança da Informação”, baseado na norma ISO/IEC 27001;
• “Data Protection Officer”, que tem como objetivo facilitar a compreensão da lógica da proteção de dados no Brasil e no mundo;
• “Privacy & Data Protection Foundation”  relacionado com o aprofundamento dos regulamentos europeus, contando com um comparativo essencial com as legislações brasileiras;
• “Privacy & Data Protection Essentials”, curso focado nos artigos da LGPD que introduz o profissional às demandas da legislação brasileira;
• “Privacy & Data Protection Pratictioner”, certificado mais avançado, indicado para quem já atua na área e deseja um conhecimento mais aprofundado. 

DPO: Guias e outros materiais de referência 

Até o momento, a ANPD publicou alguns documentos que valem a pena serem conferidos a quem se interessar saber mais sobre a profissão ou ser um DPO. São eles: 

• Guia Orientativo sobre Agentes de Tratamento e Encarregado, que busca explicar quem pode exercer a função do Encarregado de Dados, as definições legais, os respectivos regimes de responsabilidade, casos concretos que exemplificam as explicações da ANPD e perguntas frequentes sobre o assunto;
  
• Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte, para auxiliar os agentes de tratamento de pequeno porte a implementarem medidas de segurança da informação para a proteção dos dados pessoais tratados;
   
• Guia Orientativo sobre a Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral, elaborado em conjunto com o Tribunal Superior Eleitoral (TSE), que apresenta uma série de orientações práticas sobre a aplicação da LGPD nas eleições de 2022, além de explicar e esclarecer sobre os aspectos obrigatórios da Lei no contexto eleitoral;
  
• Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público, que busca delinear parâmetros para auxiliar entidades e órgãos públicos nas atividades de adequação e de implementação da LGPD.

Conclusão

Todo e qualquer negócio possui informações sigilosas. Contar com a atuação de um Data Protection Officer é necessário para se manter os dados protegidos e seguros contra vazamentos e manipulações por parte de pessoas mal intencionadas, bem como, deixar seus clientes e parceiros mais aliviados. 

Portanto, é uma oportunidade para profissionais e empresas. Aqueles que integram o primeiro grupo podem se beneficiar de uma carreira promissora como DPO, enquanto quem está no segundo se vale desse trabalho para se posicionar no mercado como uma organização transparente e responsável.

Mais conhecimento para você

• ESG: o que é, pilares, porque é uma tendência e qual o papel dos departamentos jurídicos
• O que é governança corporativa e jurídica, seus princípios e benefícios
• Direito digital: conceitos, desafios e atuação na área
• Data Driven Lawyer: a importante atuação do advogado orientado a dados
• O que o software Themis pode fazer pelo diretor jurídico moderno?
• Como contar prazo processual? Dicas e mudanças recentes na lei
• Saúde mental na advocacia: à procura do equilíbrio
• Leilão de imóveis: Entenda como funciona!
• O que são as Áreas de Preservação Permanente: lei, tipos e multas!
• Guia comentado: principais artigos da Lei 9613/98
• O que é e como funciona a desconsideração inversa da personalidade jurídica

Gostou do artigo e quer evoluir a sua advocacia?

Assine grátis a Aurum News e receba uma dose semanal de conteúdo no seu e-mail! ✌️

Digite seu e-mail

Ao se cadastrar você declara que leu e aceitou a política de privacidade e cookies do site.

Assinar

Este conteúdo foi útil? Ficou com alguma dúvida? Compartilhe nos comentários! 🙂