DPO: quem é e qual sua importância para sua empresa

Mais do que atender uma formalidade legal, o DPO atua como um facilitador que une segurança, transparência e boas práticas

O Encarregado de Proteção de Dados também é conhecido como DPO (Data Protection Officer)
O Encarregado de Proteção de Dados também é conhecido como DPO (Data Protection Officer) | Foto: Freitas Ferraz Advogados

Por Guilherme Guidi e Rodrigo Pôssas

Navegar pelas exigências da Lei Geral de Proteção de Dados (LGPD) pode parecer um fardo para muitas startups. A necessidade de seguir normas rigorosas muitas vezes é vista como um obstáculo em um ambiente já desafiador. Mas como garantir que essas exigências sejam atendidas e, ao mesmo tempo, construir sua empresa do zero, ganhar clientes, conquistar investimentos e se tornar o próximo unicórnio?

O “pulo do gato” é entender que quando a proteção de dados é tratada da forma certa, ela pode se transformar em uma vantagem estratégica, ajudando nessa jornada.

É nesse cenário que o Encarregado de Proteção de Dados, também conhecido como DPO (Data Protection Officer), se torna essencial. Mais do que atender uma formalidade legal, o DPO atua como um facilitador que une segurança, transparência e boas práticas. Afinal, você investiu dinheiro e tempo para criar um negócio em que dados são o combustível, não faz sentido deixar seu principal ativo desprotegido, certo?

Acontece que muitas vezes se ouve que o DPO, em certos casos, seria opcional, já que muitas empresas trabalham apenas cumprindo ordens do seu cliente e nunca usando os dados pessoais para outras finalidades. A tentação então é deixar de nomear um Encarregado com esse argumento e economizar algum dinheiro. A perda, entretanto, vem de dois lados nesse caso: de um, a perda de um parceiro importante do negócio; de outro, provavelmente um descumprimento de uma regra pouco entendida da LGPD. 

Quer entender melhor e proteger o que é mais caro à sua operação? Nós te explicamos neste artigo.

  1. O que é exatamente o encarregado?

O Encarregado é a pessoa nomeada por um agente de tratamento (que pode ser uma Startup, uma ONG, um órgão governamental, etc.) para atuar como canal de comunicação com os titulares dos dados e a ANPD e para assegurar que a entidade esteja em conformidade com as leis e regulações de proteção de dados. Suas funções, no entanto, vão muito além disso.

O Encarregado pode ser (i) uma pessoa natural, contratada especificamente para função ou que já está no quadro da entidade, ou (ii) uma pessoa jurídica. O exercício da função não exige formação específica (como a formação jurídica, por exemplo), nem inscrição em entidade ou certificação. No entanto, o Encarregado deve ter conhecimento sobre proteção de dados e leis aplicáveis, além de ser capaz de se comunicar de forma clara, em língua portuguesa, com os titulares e com a ANPD.

Mas que fique claro: o DPO não tem responsabilidade pessoal sobre o que a empresa faz com os dados. Ou seja, se a empresa violar a lei, o Encarregado não será responsabilizado por isso. Seu papel e responsabilidade se restringem a aconselhar e orientar.

  1. Qual o trabalho do DPO?

Mas o que o Encarregado precisa, de fato, fazer no seu dia a dia? A LGPD usa expressões mais genéricas sobre as atividades do Encarregado, mas a ANPD recentemente publicou um regulamento sobre sua atuação, ajudando a esclarecer o tema. Com isso, a partir tanto da LGPD quanto do Regulamento, estas são algumas das responsabilidades do Encarregado:

  • Receber e responder reclamações e comunicações dos titulares de dados pessoais, além de prestar esclarecimentos e tomar providências cabíveis (ex.: atender a uma solicitação de apagamento de dados).
  • Receber comunicações da ANPD e adotar as providências necessárias, como encaminhar demandas para o departamento correto e prestar assistência à empresa.
  • Orientar empregados e contratados sobre práticas adequadas para proteger dados sob sua responsabilidade.
  • Auxiliar na criação e/ou atualização de diversos documentos de compliance, como Políticas de Privacidade, Relatórios de Impacto (RIPDs) e Inventários de Dados, entre outros. 
  • Ajudar na negociação de contratos que envolvam dados pessoais.
  • Ajudar no desenvolvimento de novos produtos e serviços, incorporando preocupações com proteção de dados desde seu desenho inicial.
  • Assegurar que as transferências internacionais de dados pessoais sejam realizadas em conformidade com a legislação, especialmente a partir do novo Regulamento já publicado pela ANPD.

É assim que, muito além de configurar o elo entre diversos agentes interessados, o Encarregado é a referência primordial de qualquer programa de privacidade para garantir o cumprimento da LGPD e demais regras sobre o assunto.

  1. É necessário nomear um DPO na minha empresa? Quais são os requisitos?

Apesar da sua (demonstrada) relevância para qualquer organização, isso por vezes não afasta perguntas e indagações do tipo: “Ok, entendi. Mas eu sou, de fato, obrigada a nomear o Encarregado? Em teoria, nem sempre. Mas, na prática, sim.

Antes de respondermos a essa pergunta, uma distinção precisa ser feita. De acordo com a LGPD, temos duas figuras diferentes em processos de tratamento: a figura do Controlador e a do Operador. De maneira bastante objetiva, o Controlador seria o responsável por exercer determinado controle sob aquele processo, definindo o objetivo final do tratamento, ao passo que o Operador seria a organização que apenas obedece às ordens do Controlador. 

Segundo as regras da ANPD, apenas o Controlador teria a obrigação de nomear o Encarregado. Para o Operador, essa questão seria apenas facultativa, sendo considerada uma boa prática de governança. Assim, em princípio, aqueles que geralmente (ou quase sempre) atuam como Operadores, como provedores de serviços simples, operadores de nuvem, fornecedores de software de prateleira etc. poderiam pensar que essa obrigação não lhes atingiria.

Ocorre que na prática a história é bastante diferente. Isso porque, é exercício difícil (para não dizer impossível) encontrar qualquer organização que, em algum momento, não atue como Controladora. 

Exemplos não faltam: a empresa que possui empregados e trata seus dados pessoais, a empresa que cumpre obrigações legais e/ou regulatórias, a empresa que usa dados para se defender num processo judicial, uma empresa que nomeie seus representantes nos contratos que assina, dentre outros. Portanto, ainda que em algum momento de sua atividade ela seja Operadora, é natural que em outras atividades ela seja Controladora.

Dessa forma, voltando ao questionamento do início, sim. Na prática, todos possuem obrigação legal de nomear o Encarregado, sendo mais um ponto que reforça sua importância em qualquer organização que se preocupa com o tema de Proteção de Dados.

Para além de mero cumprimento de obrigação legal, a nomeação adequada do Encarregado na sua organização pode ser medida fundamental para criar uma cultura de proteção de dados sólida, capaz de garantir tanto a efetividade do seu programa, quanto a comunicação e transparência perante os agentes externos, sendo medida de extrema relevância.

Caso tenha ficado interessado em saber mais sobre as matérias envolvendo o encarregado, especialmente sua nomeação, atribuições e como garantir o exercício das suas atribuições, entre em contato conosco.

Teremos o maior prazer em atendê-lo(a).

Para saber mais sobre o Freitas Ferraz Advogados, consulte nosso site e não deixe de nos acompanhar no LinkedIn e no Instagram!