Contato

DPO: Qual é o seu papel e como nomear um Encarregado?

EXPERIÊNCIA
Daniela Cabella e Pedro Nunes, DPOs da ZooxDaniela Cabella e Pedro Nunes, DPOs da Zoox - 15 de Julho de 2022.

Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), em setembro de 2020, a função de Encarregado pelo Tratamento de Dados Pessoais ou “Data Protection Officer” (DPO) passou a ser exigida para organizações do setor público e privado.

Mesmo que, em janeiro de 2022, uma Resolução da Autoridade Nacional de Proteção de Dados (ANPD) tenha dispensado essa exigência para as organizações de pequeno porte, a nomeação de DPO continua como uma medida recomendável de melhores práticas de governança em Privacidade.

Por se tratar de uma função relativamente nova no Brasil, é natural que ainda haja inúmeras dúvidas sobre o papel e a forma dessa nomeação na prática. De todo o modo, muitas organizações, ao escolherem seus respectivos Encarregados ou DPOs, publicam em seus sites, notificam a imprensa e disponibilizam todas as informações de contato - e isso é ótimo!

Mas será que esse é o caminho correto para a nomeação? Ou falta algo mais? Para entendermos as responsabilidades deste cargo e ainda decifrarmos a forma correta de fazer a nomeação de um Encarregado, continue com a gente neste artigo.

Ao final, disponibilizamos um conteúdo surpresa - e gratuito!

Qual é o papel de um DPO?

Um DPO é uma das principais peças do xadrez de uma empresa que zela pela governança e proteção de dados. De maneira simples, um DPO é um especialista responsável por ser o canal de comunicação para todo e qualquer assunto relacionado a proteção de dados, dados pessoais e privacidade.

Essa função intermedia as conversas entre o agente de tratamento (empresa) e os titulares de dados; e também entre a empresa e a ANPD.

É importante frisar que a proteção de dados pode andar de mãos dados com o interesse do negócio. Na Zoox, por exemplo, aplicamos o framework de Privacy by Design, que fortalece essa prática de forma ativa, mesmo não sendo uma obrigação legal.

Segundo a LGPD, e de acordo com a Data Privacy BR, as atividades do Encarregado são:

  • Comunicar-se com titulares de dados para realizar esclarecimentos e adotar providências

  • Atender a comunicados de autoridades

  • Orientar colaboradores sobre as melhores práticas adotadas em relação à proteção de dados

  • Receber reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências

  • Receber comunicações de órgãos reguladores e adotar as providências

  • Orientar contratados da empresa a respeito das práticas em relação à proteção de dados pessoais

  • Treinar funcionários envolvidos no tratamento de dados pessoais

  • Realizar Privacy Impact Assessments (PIA) para averiguar o risco no uso de dados pessoais e a conformidade regulatória da empresa

  • Manter registros de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas (Data Mapping);

  • Auxiliar no desenvolvimento de produtos, serviços e práticas com a adoção do framework de Privacy by Design

Mas como nomear um DPO da melhor forma?

É muito importante que a organização registre por escrito e comunique internamente a nomeação, por motivos de compliance e governança. A comunicação pode ser realizada por e-mail ou ferramenta oficial de comunicação interna, por exemplo.

Já do ponto de vista da documentação, é fundamental que ocorra a assinatura e arquivamento (hoje em dia, é mais comum que seja na via eletrônica do que no papel) de um Termo de Nomeação do Encarregado pelo Tratamento de Dados Pessoais.

O ideal é que o Termo seja assinado pelo Presidente ou função equivalente na organização, e conte com uma descrição objetiva das responsabilidades, obrigações, atividades, garantias e limites da função.

De acordo com Guia Orientativo da ANPD

  1. Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.
  2. [...] , é importante que o encarregado tenha recursos adequados para realizar suas atividades, o que pode incluir recursos humanos. Outros recursos que devem ser considerados são tempo (prazos apropriados), finanças e infraestrutura.
  3. [...] A responsabilidade pelas atividades de tratamento de dados pessoais continua sendo do controlador ou do operador de dados, conforme estabelece o art. 42 da LGPD. 

Assim, entendemos que é essencial destacar esses pontos no Termo. Outro tópico que recomendamos que seja registrado é o da responsabilidade civil, que poderá ser limitada no caso de o Encarregado ser contratado sob regime celetista.

Por fim, empresas que também estão sujeitas à aplicação do Regulamento Geral de Proteção de Dados (GDPR) europeu ou procuram seguir suas disposições como melhores práticas também podem incorporar seu conteúdo ao Termo de Nomeação de DPO.

Na prática: Como redigir o Termo de Nomeação do DPO?

O melhor, nós deixamos para o final.

Desde 2020, a Zoox tem compartilhado gratuitamente materiais de melhores práticas em Privacidade e Proteção de Dados com o objetivo de colaborar com todo o ecossistema de proteção de dados.

Seguindo essa linha, compartilhamos, aqui, um modelo de Termo de Nomeação de Encarregado/DPO que desenvolvemos e aplicamos internamente. Sinta-se à vontade para adaptá-lo à sua realidade organizacional. Esperamos, com este material, contribuir de forma positiva e prática para as ações e medidas de compliance e governança da organização à qual você está ligado.

Comentários

Materiais Gratuitos