Quando falamos de privacidade e proteção de dados, DPO foi um dos assuntos mais pesquisados – reflexo da importância cada vez maior do tema

.

A busca por DPO – Data Protection Officer tem sido um destaque, segundo o Google trends as pesquisas por “o que é DPO” aumentaram em 70% só nos últimos 12 meses.

Assim, é importante estar atento ao tema e definir qual a melhor estratégia para encarar esses desafios.

.

.

O que é um DPO?

A Lei Geral de Proteção de Dados (LGPD) estabelece diversas obrigações para quem trata dados pessoais. Dentre elas está a determinação de que controladores indiquem um encarregado pelo tratamento de dados pelo tratamento dos dados pessoais.

O DPO é a pessoa física ou jurídica indicada pelos agentes de tratamento (controladores e operadores) para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)¹. O mesmo DPO pode atuar em nome de diferentes organizações.

.

O que faz um DPO na prática?

A lei atribui algumas responsabilidades ao DPO, na prática, essas responsabilidades vão muito além das
legalmente estabelecidas.

As atividades realizadas pelo DPO são contínuas e requerem um entendimento técnico (boas práticas e
frameworks de segurança da informação), de negócio, regulatório (leis, regulamentos da ANPD e setoriais), de planejamento e da estrutura da organização.

Sua atuação vai desde a constituição de um programa de privacidade até a sua sustentação uma vez
implementado. O DPO (que em muitos casos já desempenha outro papel dentro da empresa) terá que encarar uma rotina que inclui:

• Acompanhar todo o processo de mapeamento de dados, classificação de riscos e desenho de fluxo de dados;
• Definir um plano de ação para adequação da organização à LGPD e normas correlatas;
• Avaliar e aprovar a contratação de terceiros com base nas exigências legais e nas boas práticas de privacidade;
• Garantir a implementação de políticas e outras medidas de mitigação de riscos necessárias;
• Prestar esclarecimentos e tomar providências ao receber requisições de titulares de dados;
• Responder solicitações de esclarecimentos de terceiros (assessments) sobre privacidade e proteção de dados;
• Receber as comunicações e atualizações da ANPD para repassá-las aos demais gestores;
• Registrar e monitorar a resposta aos incidentes de segurança;
• Realizar treinamentos periódicos para todos os colaboradores sobre segurança e uso de dados pessoais;
• Orientar as áreas da empresa a seguirem o Privacy by Design no desenvolvimento de novos projetos, produtos e serviços;
• Formular relatórios, manuais e sugerir mudanças que assegurem a saúde do programa de privacidade;
• Monitorar e atualizar o programa de privacidade constantemente, levando em consideração o contexto de cada área da organização, os requisitos legais e técnicos e o respeito à privacidade do titular

.

Esta lista ainda tende a aumentar nos próximos meses, pois a Agenda Regulatória da ANPD para o biênio 2021-2022 indica que haverá novas provisões sobre as atividades do DPO ainda no primeiro semestre de 2022.

.

Preciso mesmo nomear um DPO?

Em regra, sim. Controladores de dados pessoais devem nomear publicamente um DPO.

Embora a lei não mencione os operadores, esses não estão isentos dessa obrigação, e devem avaliar a situação concreta para entender se precisam ou não de um DPO. Essa avaliação deve considerar o modelo de negócio da organização, complexidade das operações de tratamento, riscos para os titulares de dados e volume de dados tratados.

Apenas os agentes de tratamento de pequeno porte que não conduzam atividades de tratamento de alto risco e não aufiram ou pertençam a grupo econômico cuja receita seja superior ao limite estipulado estão desobrigados de indicar um DPO. A ANPD poderá flexibilizar a obrigação de nomeação de um DPO em outras situações. Importante lembrar que, mesmo nesses casos excepcionais, as empresas estão obrigadas a manter um canal de comunicação acessível ao titular de dados e à ANPD.

Isso também implica que o contato do DPO deve estar facilmente acessível justamente pela sua atuação
enquanto canal de comunicação entre ANPD, organização e titulares de dados.

O tamanho da empresa não deve ser o único fator determinante para nomeação de um DPO. Será essencial determinar as atividades de tratamento realizadas para atingir os objetivos da organização. Se a organização está tratando dados pessoais em seu core business, ou seja, em uma atividade central, um DPO tem que ser nomeado.

A nomeação de um DPO não só é uma exigência legal, nos casos já mencionados, como também pode ser fundamental para todos os agentes de tratamento, a fim de implementar processos de privacidade desde a concepção (privacy by design) com alcance em todas as áreas da organização.

Ao facilitar a criação e implementação de processos, o DPO é agente essencial para a governança apropriada da privacidade e proteção dos dados na organização.

.

.

Mas afinal, como otimizar o resultado das atividades do DPO?

Agora que já sabemos o que é e o que não é obrigatório, segundo a LGPD, podemos pensar na melhor forma de implementar as atividades do DPO para otimizar os resultados para a organização.