Por Leonardo Neri
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no dia 18 de setembro de 2020, e trouxe dentro dos seus sessenta e cinco artigos a obrigatoriedade de as empresas controladoras nomearem um Encarregado pela proteção de dados, ou o DPO – Data Protection Officer, termo em inglês para o cargo também compulsório na Europa desde maio de 2018.
A obrigatoriedade e essencialidade da criação e manutenção de um novo cargo dentro das empresas controladoras de dados fez crescer o interesse daqueles que buscam o exercício de uma nova atividade promissora e ainda escassa de profissionais.
O Encarregado pela proteção de dados atuará em diversas frentes, ficando responsável pelo mapeamento e registro dos fluxos de tratamento de dados pessoais pela controladora, implementação de procedimentos de adequação por todos os setores envolvidos no tratamento dos dados pessoais, além de promover a interação entre a empresa e os titulares de dados e o órgão regulador competente.
Para tanto, o DPO terá suas informações de contato divulgadas publicamente pela companhia controladora, preferencialmente em seu website, de forma a viabilizar sua atuação no intermédio da referida comunicação entre a organização, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Além disso, o DPO também atuará internamente, adotando medidas necessárias à implantação de adequações pela empresa para assegurar a proteção de dados pessoais. De modo geral, o DPO tem a importante tarefa de administrar a trajetória dos dados pessoais dentro da organização.
Como principais atribuições, o DPO deverá:
- i) Aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências;
- ii) Receber comunicações da ANPD e adotar providências;
iii) Orientar funcionários e os contratados da empresa controladora a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- iv) Executar as demais atribuições determinadas pela controladora ou estabelecidas em normas complementares;
- v) Formular regras de boas práticas e de governança compreendendo procedimentos como:
(v.i) Reclamações e petições de titulares;
(v.ii) Normas de segurança e padrões técnicos;
(v.iii) As obrigações específicas para os envolvidos no tratamento; e
(v.iv) Ações educativas.
- vi) Informar e aconselhar o agente de tratamento e seus colaboradores sobre suas obrigações relativas ao tratamento de dados;
vii) Informar e aconselhar o agente de tratamento e seus colaboradores sobre suas obrigações relativas ao tratamento de dados;
viii) Oferecer aconselhamento com relação à avaliação de impacto sobre proteção de dados e monitorar a efetivação;
- ix) Cooperar com as Autoridades Públicas no que se relaciona com o tema de proteção de dados;
- x) Ser o canal de contato com as Autoridades com relação ao tratamento de dados;
- xi) Monitorar a conformidade do agente de tratamento com a LGPD para:
(xi.i) Avaliação de conformidade dos procedimentos com os princípios da LGPD, especialmente da prevenção, segurança e responsabilização;
(xi.ii) Análise de padrões técnicos mínimos;
(xi.iii) Implantação do Privacy by Design no produto da marca da controladora;
(x.iv) Acompanhar o mapeamento dos registros de atividades de tratamento de dados;
(xi.v) Visualização do alcance dos dados pessoais tratados pelo agente;
(xi.vi) Constante revisão e atualização de informações e procedimentos;
(xi.vii) Identificação e documentação das finalidades específicas do tratamento de dados;
(xi.viii) Elaboração e manutenção de inventário dos registros de tratamento;
(xi.ix) Determinação e documentação da base legal para cada atividade de tratamento;
(xi.x) Documentação de eventual exigência de consentimento e registro da obtenção junto ao titular;
(xi.xi) Avaliação e identificação das atividades de riscos aos titulares;
(xi.xii) Implementação de controles do tratamento de dados pessoais perante terceiros; e
(xi.xiii) Controladoras conjuntos, identificar e determinar as responsabilidades individuais.
É importante que o Encarregado pela proteção de dados exerça suas atividades com plena autonomia e total acesso às informações, atuando também como fiscal dos atos praticados pela controladora, em defesa da proteção dos dados dos titulares.
O DPO, no entanto, não é responsabilizado pela inobservância por parte da companhia de procedimentos recomendados para proteção dos dados pessoais.
Nessa seara, a LGPD possibilita o surgimento no mercado do produto “DPO as a Service”, que nada mais é do que uma consultoria que presta o serviço de Encarregado pela proteção de dados nas empresas controladoras por meio de uma pessoa jurídica, a qual atende mais de uma empresa controladora de forma simultânea.
Esse modelo de negócio possibilita uma diversificação de atendimento da função pelo mesmo ente jurídico, contribuindo para um custo benefício mais apropriado para a empresa controladora, que consegue dimensionar melhor a carga horária necessária para o atendimento da demanda com a sua atual realidade, e se beneficia de um serviço mais abrangente, visto que pulverizado também em outras companhias, ou mesmo setores da economia, gerando uma maior experiência da prestadora no tema de proteção de dados, em conformidade com os preceitos práticos da nova Lei Geral de Proteção de Dados.