Quando falamos de privacidade e proteção de dados, DPO foi um dos assuntos mais pesquisados – reflexo da importância cada vez maior do tema

.

A busca por DPO – Data Protection Officer tem sido um destaque, segundo o Google trends as pesquisas por “o que é DPO” aumentaram em 70% só nos últimos 12 meses.

Esse é um reflexo da busca do mercado por uma
atualização e mapeamento de dados e risco, com
acompanhamento profundo sobre a criação de
novos processos e produtos. A necessidade de analisar contratos e homologar fornecedores, responder a requisições de titulares e atender a ANPD são algumas das questões que têm preocupado as organizações e são parte substancial das atividades que um DPO deverá encarar no dia a dia.

Assim, é importante estar atento ao tema e definir qual a melhor estratégia para encarar esses desafios.

O que é um DPO?

A Lei Geral de Proteção de Dados (LGPD) estabelece diversas obrigações para quem trata dados pessoais. Dentre elas está a determinação de que controladores indiquem um encarregado pelo tratamento de dados pelo tratamento dos dados pessoais.

O DPO é a pessoa física ou jurídica indicada pelos agentes de tratamento (controladores e operadores) para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)¹. O mesmo DPO pode atuar em nome de diferentes organizações.

O que faz um DPO na prática?

A lei atribui algumas responsabilidades ao DPO, na prática, essas responsabilidades vão muito além das
legalmente estabelecidas.

As atividades realizadas pelo DPO são contínuas e requerem um entendimento técnico (boas práticas e
frameworks de segurança da informação), de negócio, regulatório (leis, regulamentos da ANPD e setoriais), de planejamento e da estrutura da organização.

Sua atuação vai desde a constituição de um programa de privacidade até a sua sustentação uma vez
implementado. O DPO (que em muitos casos já desempenha outro papel dentro da empresa) terá que encarar uma rotina que inclui:

• Acompanhar todo o processo de mapeamento de dados, classificação de riscos e desenho de fluxo de dados;
• Definir um plano de ação para adequação da organização à LGPD e normas correlatas;
• Avaliar e aprovar a contratação de terceiros com base nas exigências legais e nas boas práticas de privacidade;
• Garantir a implementação de políticas e outras medidas de mitigação de riscos necessárias;
• Prestar esclarecimentos e tomar providências ao receber requisições de titulares de dados;
• Responder solicitações de esclarecimentos de terceiros (assessments) sobre privacidade e proteção de dados;
• Receber as comunicações e atualizações da ANPD para repassá-las aos demais gestores;
• Registrar e monitorar a resposta aos incidentes de segurança;
• Realizar treinamentos periódicos para todos os colaboradores sobre segurança e uso de dados pessoais;
• Orientar as áreas da empresa a seguirem o Privacy by Design no desenvolvimento de novos projetos, produtos e serviços;
• Formular relatórios, manuais e sugerir mudanças que assegurem a saúde do programa de privacidade;
• Monitorar e atualizar o programa de privacidade constantemente, levando em consideração o contexto de cada área da organização, os requisitos legais e técnicos e o respeito à privacidade do titular

Esta lista ainda tende a aumentar nos próximos meses, pois a Agenda Regulatória da ANPD para o biênio 2021-2022 indica que haverá novas provisões sobre as atividades do DPO ainda no primeiro semestre de 2022.

Preciso mesmo nomear um DPO?

Em regra, sim. Controladores de dados pessoais devem nomear publicamente um DPO.

Embora a lei não mencione os operadores, esses não estão isentos dessa obrigação, e devem avaliar a situação concreta para entender se precisam ou não de um DPO. Essa avaliação deve considerar o modelo de negócio da organização, complexidade das operações de tratamento, riscos para os titulares de dados e volume de dados tratados.

Apenas os agentes de tratamento de pequeno porte que não conduzam atividades de tratamento de alto risco e não aufiram ou pertençam a grupo econômico cuja receita seja superior ao limite estipulado estão desobrigados de indicar um DPO. A ANPD poderá flexibilizar a obrigação de nomeação de um DPO em outras situações. Importante lembrar que, mesmo nesses casos excepcionais, as empresas estão obrigadas a manter um canal de comunicação acessível ao titular de dados e à ANPD.

Isso também implica que o contato do DPO deve estar facilmente acessível justamente pela sua atuação
enquanto canal de comunicação entre ANPD, organização e titulares de dados.

O tamanho da empresa não deve ser o único fator determinante para nomeação de um DPO. Será essencial determinar as atividades de tratamento realizadas para atingir os objetivos da organização. Se a organização está tratando dados pessoais em seu core business, ou seja, em uma atividade central, um DPO tem que ser nomeado.

A nomeação de um DPO não só é uma exigência legal, nos casos já mencionados, como também pode ser fundamental para todos os agentes de tratamento, a fim de implementar processos de privacidade desde a concepção (privacy by design) com alcance em todas as áreas da organização.

Ao facilitar a criação e implementação de processos, o DPO é agente essencial para a governança apropriada da privacidade e proteção dos dados na organização.

Mas afinal, como otimizar o resultado das atividades do DPO?

Agora que já sabemos o que é e o que não é obrigatório, segundo a LGPD, podemos pensar na melhor forma de implementar as atividades do DPO para otimizar os resultados para a organização.

Um dos principais critérios de contratação é avaliar um DPO ou consultoria externa que comprove meios ágeis e efetivos de conhecer o negócio.

A keeggo tem experiência prática com diferentes modelos de DPO as a Service em diversos segmentos de mercado, como educação, seguros, financeiro, segurança e startups digitais, onde cada projeto é adaptado às necessidades específicas do cliente em cada uma de suas fases: diagnóstico, adequação, recomendações e sustentação.

Nós temos ainda muito o que falar e te mostrar sobre cibersegurança e privacidade, acompanhe nosso LinkedIn e fique ligado nas novidades!