Artigos - Postado em: 12/04/2021

Fui nomeado DPO. Quais são os próximos passos?

Por Juliana Peixinho

Com a entrada em vigor da Lei Geral de Proteção de Dados, as empresas se depararam com uma nova figura, a do Encarregado, também conhecido como Data Protection Officer – DPO. 

O artigo 41 da lei, inclusive, estabelece que os controladores de dados, ou seja, os responsáveis pelas decisões referentes ao tratamento, deverão indicar um encarregado pelo tratamento de dados pessoais. 

Nesta toada, previamente à nomeação do encarregado, é importante que seja definido quais serão as suas atribuições. A LGPD estabelece as seguintes atividades a serem desenvolvidas pelo encarregado:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e 
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. 

Nesse contexto, observa-se que por vezes há um equívoco com as atividades estabelecidas ao DPO – Data Protection Officer no regramento europeu, o qual possui um rol superior de funções a serem exercidas, tais como:

  • Informar e aconselhar o controlador ou o operador a respeito de suas obrigações, bem como os colaboradores que tratem dados pessoais;
  • Controlar a conformidade com as políticas do controlador ou do operador relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação dos colaboradores implicados nas operações de dados pessoais;
  • Aconselhar em relação à elaboração de avaliações de impacto sobre a proteção de dados;
  • Cooperar com as autoridades de proteção de dados; e 
  • Ser um ponto de contato para a autoridade de proteção de dados.

Dessa forma, é fundamental que seja definido o escopo de atuação do encarregado de proteção de dados, seja este um escopo mais restritivo atendendo os requisitos mínimos trazidos pela LGPD ou um escopo mais abrangente conforme o estabelecido pelo RGPD.

Independentemente do escopo adotado ou se será escolhido um colaborador pertencente aos quadros da empresa ou uma consultoria externa, um dos próximos passos é a definição de um plano de prioridades para a atuação do encarregado pela proteção dos dados.

1 – Estabelecer o plano de adequação da empresa

Diante do cenário de entrada em vigor da lei e de adequação à LGPD, uma das primeiras prioridades será definir qual será o plano de adequação da empresa, e se já realizado, será implementar as recomendações e estabelecer um programa de governança. 

2 – Estabelecer a rotina de trabalho do encarregado

Posteriormente à essa fase inicial de adequação, é necessário definir o quotidiano do encarregado, se este será responsável por sensibilizar os colaboradores, registrar as atividades de tratamento de dados e manter a atualização dos registros já realizados. 

3 – Formação profissional do encarregado

Outra prioridade a ser adotada após a nomeação do encarregado é trabalhar na formação deste profissional. Em que pese a LGPD não estabeleça como um requisito ao encarregado possuir um conhecimento especializado da lei, diferentemente do RGPD, é fundamental que o profissional possua um conhecimento sólido sobre a lei e proteção de dados para que possa exercer as suas atividades com maior maestria. 

Ressaltamos que essa ausência de conhecimento pode ser superada a partir da contratação de consultoria para dar suporte ao encarregado na jornada de adequação à LGPD e implementação de um projeto de governança na empresa, bem como para atender as demandas complexas de proteção de dados que farão parte do seu quotidiano. 

Além disso, é importante que seja disponibilizado recursos para que o encarregado despenhe as suas atividades, não só a formação, mas também, acesso à informação, budget e inclusive tempo, já que por vezes essa função é realizada concomitantemente com outras funções.

4 – Estabelecer governança informática

No mais, estabelecer uma governança informática é um ponto crucial, a fim de permitir que o encarregado tenha uma visão do que já foi feito em relação à segurança da informação e o que ainda falta a ser feito. Outro ponto, é conhecer quais são os dados pessoais que circulam na estrutura da empresa e que são indispensáveis, como por exemplo, dados de clientes e ter um registro desses dados, bem como as medidas a serem adotadas para mitigar eventuais riscos ou ameaças a esses dados pessoais. 

5 – Implementar medidas de prestação de contas

Constitui também como prioridade que o encarregado tenha meios de implementar na empresa medidas de prestação de contas, e se possível, de conceitos de privacy by design. É elementar que seja justificado e demonstrado as finalidades de tratamento e as bases legais aplicadas, aplicação de medidas de minimização de dados e período de duração de tratamento, bem como a adoção dos princípios de proteção de dados desde a concepção em uma nova atividade de tratamento. 

6 – Procedimentos para atender direitos dos titulares

Nesse contexto é imprescindível que o encarregado estabeleça procedimentos para atender e gerir as solicitações dos titulares de dados, o qual é uma nova obrigação trazida pela LGPD. No mais, diante de uma situação de um incidente de segurança, o encarregado deve ter uma atuação precisa, a fim de gerir tal incidente da forma mais adequada, rápida e mitigando eventuais riscos existentes. 

7 – Comunicação

Não menos importante, também é essencial estabelecer canais de comunicação na empresa para divulgar o papel que o encarregado desempenhará. Essa comunicação pode ser feita pela divulgação em newsletters, publicação de avisos, medidas de prevenção no tratamento de dados pessoais e sessões de sensibilização. Qualquer ferramenta é útil para que os colaboradores saibam que o encarregado existe e tem um papel ativo no crescimento da cultura de privacidade e proteção de dados. Inclusive, uma comunicação ampla se demonstra como um fator determinante na adoção de medidas de privacy by design, vez que as unidades de negócios terão um papel ativo, trabalhando em conjunto com o encarregado, para que as novas atividades já sejam adequadas à LGPD.

Diante do exposto, recomenda-se que após a nomeação do encarregado pela empresa, independente se essa pessoa for um colaborador interno ou uma consultoria externa, seja definido um plano de ação para que a empresa atinja um nível apropriado de adequação, mantenha um programa de governança de proteção de dados e estabeleça uma cultura de proteção de dados robusta na empresa. 

Nosso escritório possui profissionais preparados para assessorar sua empresa na atuação como encarregado externo ou para aconselhar o encarregado nomeado em suas atividades. Em caso de dúvidas sobre proteção de dados ou direito digital, procure o Chenut Oliveira Santiago.

Voltar