Entenda como o DPO atua para garantir a conformidade com a LGPD, protegendo dados pessoais e minimizando riscos para empresas e titulares.
A Lei Geral de Proteção de Dados Pessoais (LGPD) trouxe diversas mudanças para as empresas que operam no Brasil, sendo uma das principais a necessidade de designar um Encarregado de Proteção de Dados (DPO). O DPO desempenha um papel crucial na estrutura de conformidade das empresas, sendo responsável por garantir que todas as práticas de tratamento de dados pessoais estejam em conformidade com a legislação. Essa figura é essencial para o cumprimento das exigências da LGPD e para a proteção dos direitos dos titulares de dados, desempenhando uma função estratégica que vai além de simples obrigações legais.
Responsabilidades do DPO
O DPO tem uma série de responsabilidades fundamentais no contexto da LGPD. Ele atua como o principal ponto de contato entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). Suas tarefas incluem, entre outras, aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos, e adotar as providências necessárias para resolver as questões apresentadas.
Além disso, o DPO é responsável por orientar e treinar os colaboradores da empresa em relação às melhores práticas de proteção de dados. Ele deve garantir que todos os funcionários estejam cientes das políticas internas e dos procedimentos que devem ser seguidos para assegurar a conformidade com a LGPD. Outra função crucial é a realização de auditorias internas para verificar a conformidade das operações de tratamento de dados e a adoção de medidas corretivas quando necessário.
O DPO também tem a responsabilidade de monitorar continuamente as práticas de proteção de dados da empresa, identificando e mitigando riscos antes que eles se tornem problemas maiores. Ele deve ser proativo na implementação de melhorias nos processos e sistemas de proteção de dados, assegurando que a empresa esteja sempre alinhada com as exigências da LGPD. Em resumo, o DPO é o guardião da privacidade dentro da organização, assegurando que os dados pessoais sejam tratados com o máximo de segurança e respeito.
Formação e Capacitação
Para desempenhar o papel de DPO, é necessário que o profissional possua um conjunto específico de habilidades e conhecimentos. Embora não seja obrigatório ser formado em Direito para exercer a função, é essencial que o DPO tenha um profundo entendimento das leis de privacidade e proteção de dados, especialmente da LGPD. Além disso, conhecimento em tecnologia da informação é altamente desejável, pois muitas das operações de tratamento de dados envolvem sistemas e infraestruturas tecnológicas complexas.
Certificações específicas, como as oferecidas pela EXIN (Certified Data Protection Officer) e pela IAPP (Certified Information Privacy Professional), são recomendadas e muitas vezes exigidas pelos empregadores. Essas certificações atestam que o profissional possui as competências necessárias para atuar como DPO, incluindo a capacidade de coordenar programas de conformidade de dados, realizar avaliações de impacto à privacidade, e gerenciar incidentes de segurança de dados.
Além da formação e certificações, a experiência prática é um diferencial importante. Profissionais que já atuaram em áreas relacionadas, como segurança da informação, compliance, ou auditoria, têm uma vantagem significativa. A capacitação contínua também é essencial, uma vez que a legislação e as práticas de proteção de dados estão em constante evolução. O DPO deve estar sempre atualizado com as últimas tendências e requisitos legais para garantir que a empresa esteja em conformidade com a LGPD.
Oportunidades para Profissionais de TI
A crescente demanda por DPOs tem gerado novas oportunidades para profissionais de tecnologia da informação. Empresas de todos os setores, especialmente aquelas que lidam com grandes volumes de dados, estão em busca de profissionais capacitados para assumir essa função estratégica. Para os profissionais de TI, a transição para o papel de DPO pode ser uma excelente oportunidade de carreira, oferecendo tanto um novo desafio quanto a possibilidade de assumir uma posição de liderança.
Além disso, o papel do DPO está diretamente relacionado à gestão de riscos e à segurança da informação, áreas em que muitos profissionais de TI já possuem experiência. A integração dessas competências com o conhecimento em legislação de proteção de dados faz do DPO uma função ideal para quem busca expandir sua atuação no campo da privacidade e da conformidade.
O mercado para DPOs está em plena expansão, e essa tendência deve continuar à medida que mais empresas reconhecem a importância da conformidade com a LGPD. Profissionais que investem em sua capacitação para atuar como DPO estão se posicionando para aproveitar essas oportunidades, contribuindo para a segurança dos dados e o sucesso das organizações em que atuam.
A figura do Encarregado de Proteção de Dados (DPO) é vital para a conformidade das empresas com a LGPD. Este profissional não apenas assegura que a empresa atenda às exigências legais, mas também desempenha um papel estratégico na proteção da privacidade dos dados e na manutenção da confiança dos clientes. Com a crescente preocupação com a segurança de dados, a presença de um DPO competente pode ser um diferencial competitivo, fortalecendo a reputação da empresa e contribuindo para o seu sucesso no mercado.
Investir na formação e capacitação de DPOs é, portanto, uma decisão estratégica para qualquer organização que deseja estar em conformidade com a LGPD e proteger seus dados de forma eficaz. A presença de um DPO bem qualificado não só ajuda a evitar penalidades, mas também contribui para uma cultura corporativa de respeito à privacidade, que é cada vez mais valorizada por clientes e parceiros de negócios.
O CTSADV acompanha de perto as atualizações e regulamentações a respeito do tratamento de dados pessoais com base na Lei Geral de Proteção de Dados Pessoais (LGPD). Com isso, informamos que a ANPD (Autoridade Nacional de Proteção de Dados) regulamentou a atuação do DPO – pessoa encarregada pelo tratamento de dados pessoais – por meio da Resolução CD/ANPD 18/2024.
Ressaltamos que a nomeação de um DPO não é obrigatória para microempresas, empresas de pequeno porte e startups, exceto se a empresa desenvolver atividades de alto risco para dados pessoais.
Quanto às demais empresas, é obrigatória a nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO), de modo a observar as novas regras impostas pela ANPD sobre o regulamento para atuação do referido Encarregado.
A Resolução em questão, exige que a nomeação seja realizada por meio de um documento escrito, datado e devidamente assinado. A ANPD recomenda que esse ato formal seja efetuado por um contrato de prestação de serviços ou um aditivo ao contrato de trabalho do Encarregado pelo Tratamento de Dados Pessoais, caso este atue pelo regime da CLT.
A empresa também deverá estabelecer as qualificações necessárias ao cargo, garantindo a nomeação de uma pessoa competente e com os conhecimentos necessários.
A ANPD inova ao autorizar que o DPO seja tanto pessoa física quanto pessoa jurídica, esclarecendo dúvidas quanto à atuação de empresas especializadas no ramo.
No entanto, percebe-se uma ampliação nas responsabilidades do DPO, conforme prevê o art. 16 da Resolução, de modo a tornar ainda mais relevante o cargo em questão. Vejam:
- I – registro e comunicação de incidente de segurança;
- II – registro das operações de tratamento de dados pessoais;
- III – relatório de impacto à proteção de dados pessoais;
- IV – mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
- V – medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
- VI – processos e políticas internas que assegurem o cumprimento da Lei nº 13.709, de 14 de agosto de 2018, e dos regulamentos e orientações da ANPD;
- VII – instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
- VIII – transferências internacionais de dados;
- IX – regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da Lei nº 13.709, de 14 de agosto de 2018;
- X – produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
- XI – outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais”.
É importante esclarecer que a Resolução foi clara ao deliberar sobre conflitos de interesse, determinando que o DPO deverá atuar com ética, integridade e autonomia técnica, evitando situações que possam configurar conflito de interesse.
Apesar da disposição acima, foi delimitado que o DPO poderá acumular funções e exercer as suas atividades para mais de um agente de tratamento, desde que seja possível o pleno atendimento de suas atribuições relacionadas a cada agente de tratamento e inexistente o conflito de interesse.
Dessa maneira, é possível afirmar que o DPO deve prestar, exclusivamente, atividades relacionadas à proteção de dados pessoais, de modo que o risco de conflitos de interesse e incidentes de segurança seja reduzido.
Assim, as empresas tendem a contratar profissionais externos especificamente para a área. Contudo, ainda que haja a nomeação de um DPO, em caso de falhas, a organização será a responsável por responder perante os órgãos competentes e por eventuais indenizações e multas.
Por fim, recomenda-se que a escolha e o processo de nomeação do DPO estejam sempre acompanhados por um jurídico, a fim de garantir a conformidade com a LGPD e regras da ANPD.
