Entenda quem é o DPO, o Data Protection Officer!

Conheça as atividades do DPO (Data Protection Officer), nova função prevista na GDPR, lei europeia, e na LGPD, lei brasileira que entrará em vigor em 2020.

Luzia MendesLuzia Mendes
DPO - Data Protection Officer

Novas tecnologias trazem novas regulações e sempre que uma nova lei é sancionada as empresas precisam se adaptar às novas regras. Este é o caso da Lei Geral de Proteção de Dados, que prevê regras para o tratamento de dados pessoais. Para isso, muitas empresas precisarão de um novo tipo de profissional, o DPO (Data Protection Officer).

Neste post explicaremos qual a ideia por trás da criação desta nova profissão e qual a relação dela com a LGPD. Continue acompanhando nosso artigo!

 

Qual a função DPO?

A partir da entrada em vigor da LGPD, as organizações precisarão nomear um Encarregado dos dados, cuja sua principal atribuição é ser o guardião dos dados da organização. Esse profissional é descrito na lei europeia (GDRP), como o Data Protection Officer ou DPO. Para facilitarmos o entendimento, usaremos os dois como sinônimos.

Este profissional não precisa estar necessariamente dentro do quadro de funcionários da empresa, pode ser terceirizado na forma de um consultor ou uma empresa ser contratada para prestar este serviço. Além disso, um grupo de empresas podem nomear um único DPO.

Com as novas leis de proteção de dados, surge a necessidade de governança de dados, cujo responsável por sua aplicação dentro de uma organização será o DPO. Ele será responsável por aplicar boas práticas quanto ao tratamento de dados, como anonimização e pseudoanonimização, autonomia para o usuário ter o controle sobre seus próprios dados, inclusive com a possibilidade de solicitar a exclusão, entre outras atividades.

Embora ele seja o principal encarregado por criar a estratégia relacionada as práticas de tratamento de dados, ele não será diretamente o responsável operacional pelo cumprimento das diretrizes.

Além disso, o DPO precisa educar a organização e seus colaboradores sobre os requisitos de conformidade da lei, realizar auditorias internas e ser o ponto de contato com as autoridades da ANPD, Agência Nacional de Proteção de Dados, que será constituída para garantir a aplicação da lei.

 

Como se capacitar para executar tal função?

Ainda não estão definidas todas as habilidades necessárias para executar tal atividade. O mais provável é que esse cargo seja assumido por um profissional com conhecimentos avançados sobre tratamento de dados, legislação (LGPD e Marco Civil da Internet) e com uma visão gerencial e estratégica. Muitas empresas optarão por profissionais de TI, já outras por profissionais da área de compliance.

Na Europa, não foram fixados requisitos mínimos de formação. Atualmente, as certificações mais exigidas para obter o certificado internacional são a ISO-27001, a Privacy & Data Protection Foundation (PDPF) e a Privacy & Data Protection Pratictioner (PDPP). Para o Brasil pode ser interessante cursar o Privacy & Data Protection Essentials (PDPE), que se concentra na LGPD.

 

Como surgiu o DPO?

Quando falamos na Lei de Proteção de Dados do Brasil, é sempre importante citar a GDPR (General Data Protection Regulation), primeira regulamentação criada no mundo para normatizar o tratamento de dados pessoais e que inspirou a LGPD.

Por já estar em vigor, A GDPR possui um maior amadurecimento em termos de discussões nos parlamentos europeus. Ela estabeleceu, entre outros aspectos, a criação da figura do Encarregado de Proteção de Dados, ou Data Protection Officer (DPO).

A função, além de prevista, foi descrita na GDPR da seguinte forma (tradução livre):

1. O controlador e o processador devem designar um encarregado pela proteção de dados (DPO) em qualquer um dos casos descritos abaixo:

(a) Quando o tratamento é realizado por uma autoridade ou órgão público, exceto para os tribunais que atuam em sua capacidade judicial;
(b) Quando as atividades principais do controlador ou do processador consistem em operações de processamento que, devido à sua natureza, escopo e / ou objetivos, requerem um monitoramento regular e sistemático dos titulares de dados em larga escala; ou
(c) Quando atividades principais do responsável pelo tratamento ou do processador consistem no tratamento em grande escala de categorias especiais de dados nos termos do artigo 9. ou em dados pessoais relacionados a condenações e infrações penais referidas no artigo 10.

2. Um grupo de empresas pode nomear um único responsável (DPO) pela proteção de dados, desde que seja facilmente acessível a partir de cada estabelecimento.

3. Nos casos em que o responsável pelo tratamento ou o processador é uma autoridade ou organismo público, um único oficial de proteção de dados pode ser designado para várias dessas autoridades ou órgãos, levando em consideração sua estrutura e tamanho organizacional.

4. Em casos diferentes dos referidos no n.º 1, o responsável pelo tratamento ou processador ou associações e outros organismos que representam categorias de responsáveis ​​pelo tratamento ou transformadores podem ou, se exigido pela legislação da União ou dos Estados-Membros, designar um encarregado pela proteção de dados. O encarregado pela proteção de dados pode atuar por essas associações e outros órgãos que representam controladores ou processadores.

6. O encarregado pela proteção de dados deve ser designado com base nas qualidades profissionais e, em especial, no conhecimento especializado das leis e práticas em matéria de proteção de dados e na capacidade de cumprir as tarefas referidas no artigo 39.

7. O encarregado pela proteção de dados pode ser um membro da equipe do controlador ou processador ou executar as tarefas com base em um contrato de serviço.

8. O controlador ou o processador deve publicar os dados de contato do responsável pela proteção de dados e comunicá-los à autoridade supervisora.

Apesar deste trecho acima estar previsto na lei europeia, também poderá gerar impacto no Brasil, uma vez que a LGPD foi inspirada na GDPR. Além disso, as boas práticas europeias certamente serão trazidas para cá e os reguladores estarão de olho no sucesso da atuação do Data Protection Officer.

 

ebook LGPD - Lei Geral de Proteção de Dados do Brasil

 
E você? Acha que essa função terá futuro dentro das organizações? Assine nossa newsletter abaixo para ficar atualizado sobre gestão e tecnologia!

Fique atualizado com nosso melhor conteúdo!

Compartilhe

Facebook
Twitter
LinkedIn

Leitores também acessaram: