DPO as a service: caminhos para uma governança de dados pessoais otimizada
DPO as a service: caminhos para uma governança de dados pessoais otimizada
Quando falamos de privacidade e proteção de dados, DPO foi um dos assuntos mais pesquisados – reflexo da importância cada vez maior do tema
.
A busca por DPO – Data Protection Officer tem sido um destaque, segundo o Google trends as pesquisas por “o que é DPO” aumentaram em 70% só nos últimos 12 meses.
Esse é um reflexo da busca do mercado por uma
atualização e mapeamento de dados e risco, com
acompanhamento profundo sobre a criação de
novos processos e produtos. A necessidade de analisar contratos e homologar fornecedores, responder a requisições de titulares e atender a ANPD são algumas das questões que têm preocupado as organizações e são parte substancial das atividades que um DPO deverá encarar no dia a dia.

Assim, é importante estar atento ao tema e definir qual a melhor estratégia para encarar esses desafios.
.
.
O que é um DPO?
A Lei Geral de Proteção de Dados (LGPD) estabelece diversas obrigações para quem trata dados pessoais. Dentre elas está a determinação de que controladores indiquem um encarregado pelo tratamento de dados pelo tratamento dos dados pessoais.
Controlador: Pessoa física ou jurídica, pública ou
privada, que toma as decisões sobre o tratamento
de dados pessoais.
Operador: Pessoa física ou jurídica, pública ou
privada, que realiza o tratamento de dados
pessoais em nome do controlador.
O DPO é a pessoa física ou jurídica indicada pelos agentes de tratamento (controladores e operadores) para atuar como um canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)¹. O mesmo DPO pode atuar em nome de diferentes organizações.

.
O que faz um DPO na prática?
A lei atribui algumas responsabilidades ao DPO, na prática, essas responsabilidades vão muito além das
legalmente estabelecidas.
As atividades realizadas pelo DPO são contínuas e requerem um entendimento técnico (boas práticas e
frameworks de segurança da informação), de negócio, regulatório (leis, regulamentos da ANPD e setoriais), de planejamento e da estrutura da organização.
Sua atuação vai desde a constituição de um programa de privacidade até a sua sustentação uma vez
implementado. O DPO (que em muitos casos já desempenha outro papel dentro da empresa) terá que encarar uma rotina que inclui:
- Acompanhar todo o processo de mapeamento de dados, classificação de riscos e desenho de fluxo de dados;
- Definir um plano de ação para adequação da organização à LGPD e normas correlatas;
- Avaliar e aprovar a contratação de terceiros com base nas exigências legais e nas boas práticas de privacidade;
- Garantir a implementação de políticas e outras medidas de mitigação de riscos necessárias;
- Prestar esclarecimentos e tomar providências ao receber requisições de titulares de dados;
- Responder solicitações de esclarecimentos de terceiros (assessments) sobre privacidade e proteção de dados;
- Receber as comunicações e atualizações da ANPD para repassá-las aos demais gestores;
- Registrar e monitorar a resposta aos incidentes de segurança;
- Realizar treinamentos periódicos para todos os colaboradores sobre segurança e uso de dados pessoais;
- Orientar as áreas da empresa a seguirem o Privacy by Design no desenvolvimento de novos projetos, produtos e serviços;
- Formular relatórios, manuais e sugerir mudanças que assegurem a saúde do programa de privacidade;
- Monitorar e atualizar o programa de privacidade constantemente, levando em consideração o contexto de cada área da organização, os requisitos legais e técnicos e o respeito à privacidade do titular
.
Esta lista ainda tende a aumentar nos próximos meses, pois a Agenda Regulatória da ANPD para o biênio 2021-2022 indica que haverá novas provisões sobre as atividades do DPO ainda no primeiro semestre de 2022.
.
Preciso mesmo nomear um DPO?
Em regra, sim. Controladores de dados pessoais devem nomear publicamente um DPO.
Embora a lei não mencione os operadores, esses não estão isentos dessa obrigação, e devem avaliar a situação concreta para entender se precisam ou não de um DPO. Essa avaliação deve considerar o modelo de negócio da organização, complexidade das operações de tratamento, riscos para os titulares de dados e volume de dados tratados.
Apenas os agentes de tratamento de pequeno porte que não conduzam atividades de tratamento de alto risco e não aufiram ou pertençam a grupo econômico cuja receita seja superior ao limite estipulado estão desobrigados de indicar um DPO. A ANPD poderá flexibilizar a obrigação de nomeação de um DPO em outras situações. Importante lembrar que, mesmo nesses casos excepcionais, as empresas estão obrigadas a manter um canal de comunicação acessível ao titular de dados e à ANPD.
Isso também implica que o contato do DPO deve estar facilmente acessível justamente pela sua atuação
enquanto canal de comunicação entre ANPD, organização e titulares de dados.
O tamanho da empresa não deve ser o único fator determinante para nomeação de um DPO. Será essencial determinar as atividades de tratamento realizadas para atingir os objetivos da organização. Se a organização está tratando dados pessoais em seu core business, ou seja, em uma atividade central, um DPO tem que ser nomeado.
A nomeação de um DPO não só é uma exigência legal, nos casos já mencionados, como também pode ser fundamental para todos os agentes de tratamento, a fim de implementar processos de privacidade desde a concepção (privacy by design) com alcance em todas as áreas da organização.
Ao facilitar a criação e implementação de processos, o DPO é agente essencial para a governança apropriada da privacidade e proteção dos dados na organização.
.
.
Mas afinal, como otimizar o resultado das atividades do DPO?
Agora que já sabemos o que é e o que não é obrigatório, segundo a LGPD, podemos pensar na melhor forma de implementar as atividades do DPO para otimizar os resultados para a organização.