DPO: Qual é o seu papel e como nomear um Encarregado?

Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), em setembro de 2020, a função de Encarregado pelo Tratamento de Dados Pessoais ou “Data Protection Officer” (DPO) passou a ser exigida para organizações do setor público e privado.

Mesmo que, em janeiro de 2022, uma Resolução da Autoridade Nacional de Proteção de Dados (ANPD) tenha dispensado essa exigência para as organizações de pequeno porte, a nomeação de DPO continua como uma medida recomendável de melhores práticas de governança em Privacidade.

Por se tratar de uma função relativamente nova no Brasil, é natural que ainda haja inúmeras dúvidas sobre o papel e a forma dessa nomeação na prática. De todo o modo, muitas organizações, ao escolherem seus respectivos Encarregados ou DPOs, publicam em seus sites, notificam a imprensa e disponibilizam todas as informações de contato - e isso é ótimo!

Mas será que esse é o caminho correto para a nomeação? Ou falta algo mais? Para entendermos as responsabilidades deste cargo e ainda decifrarmos a forma correta de fazer a nomeação de um Encarregado, continue com a gente neste artigo.

Ao final, disponibilizamos um conteúdo surpresa - e gratuito!

• Leia também: O valor (e não o preço) de investimentos em Privacy e Segurança da Informação
  

Qual é o papel de um DPO?

Um DPO é uma das principais peças do xadrez de uma empresa que zela pela governança e proteção de dados. De maneira simples, um DPO é um especialista responsável por ser o canal de comunicação para todo e qualquer assunto relacionado a proteção de dados, dados pessoais e privacidade.

Essa função intermedia as conversas entre o agente de tratamento (empresa) e os titulares de dados; e também entre a empresa e a ANPD.

É importante frisar que a proteção de dados pode andar de mãos dados com o interesse do negócio. Na Zoox, por exemplo, aplicamos o framework de Privacy by Design, que fortalece essa prática de forma ativa, mesmo não sendo uma obrigação legal.

Segundo a LGPD, e de acordo com a Data Privacy BR, as atividades do Encarregado são:

• Comunicar-se com titulares de dados para realizar esclarecimentos e adotar providências

• Atender a comunicados de autoridades

• Orientar colaboradores sobre as melhores práticas adotadas em relação à proteção de dados

• Receber reclamações e comunicações dos titulares dos dados pessoais, prestar esclarecimentos e adotar providências

• Receber comunicações de órgãos reguladores e adotar as providências

• Orientar contratados da empresa a respeito das práticas em relação à proteção de dados pessoais

• Treinar funcionários envolvidos no tratamento de dados pessoais

• Realizar Privacy Impact Assessments (PIA) para averiguar o risco no uso de dados pessoais e a conformidade regulatória da empresa

• Manter registros de todas as práticas de tratamento de dados pessoais conduzidas pela empresa, incluindo o propósito de todas as atividades desenvolvidas (Data Mapping);

• Auxiliar no desenvolvimento de produtos, serviços e práticas com a adoção do framework de Privacy by Design

Mas como nomear um DPO da melhor forma?

É muito importante que a organização registre por escrito e comunique internamente a nomeação, por motivos de compliance e governança. A comunicação pode ser realizada por e-mail ou ferramenta oficial de comunicação interna, por exemplo.

Já do ponto de vista da documentação, é fundamental que ocorra a assinatura e arquivamento (hoje em dia, é mais comum que seja na via eletrônica do que no papel) de um Termo de Nomeação do Encarregado pelo Tratamento de Dados Pessoais.

O ideal é que o Termo seja assinado pelo Presidente ou função equivalente na organização, e conte com uma descrição objetiva das responsabilidades, obrigações, atividades, garantias e limites da função.

De acordo com Guia Orientativo da ANPD: 

75. Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades das operações de tratamento de dados pessoais da organização.
76. [...] , é importante que o encarregado tenha recursos adequados para realizar suas atividades, o que pode incluir recursos humanos. Outros recursos que devem ser considerados são tempo (prazos apropriados), finanças e infraestrutura.
77. [...] A responsabilidade pelas atividades de tratamento de dados pessoais continua sendo do controlador ou do operador de dados, conforme estabelece o art. 42 da LGPD. 

Assim, entendemos que é essencial destacar esses pontos no Termo. Outro tópico que recomendamos que seja registrado é o da responsabilidade civil, que poderá ser limitada no caso de o Encarregado ser contratado sob regime celetista.

Por fim, empresas que também estão sujeitas à aplicação do Regulamento Geral de Proteção de Dados (GDPR) europeu ou procuram seguir suas disposições como melhores práticas também podem incorporar seu conteúdo ao Termo de Nomeação de DPO.

• Leia também: Privacidade e Proteção de Dados com a chegada de um(a) CISO: como cultivar a sinergia entre áreas?

Na prática: Como redigir o Termo de Nomeação do DPO?

O melhor, nós deixamos para o final.

Desde 2020, a Zoox tem compartilhado gratuitamente materiais de melhores práticas em Privacidade e Proteção de Dados com o objetivo de colaborar com todo o ecossistema de proteção de dados.

Seguindo essa linha, compartilhamos, aqui, um modelo de Termo de Nomeação de Encarregado/DPO que desenvolvemos e aplicamos internamente. Sinta-se à vontade para adaptá-lo à sua realidade organizacional. Esperamos, com este material, contribuir de forma positiva e prática para as ações e medidas de compliance e governança da organização à qual você está ligado.