Importância do DPO para a proteção dos dados empresariais

O Data Protection Officer (DPO) ou encarregado, é o responsável por atender as demandas dos titulares, interagir com a Autoridade Nacional de Proteção de Dados (ANPD) e orientar funcionários e contratados quanto às práticas de proteção de dados pessoais.

 

A recente entrada em vigor da lei 13.709/18, com redação dada pela lei 13.853/19, consolidou a necessidade de adequação de empresas e órgãos públicos à proteção de dados pessoais, com a melhoria dos processos internos e externos, gerando marketing positivo para a realização de negócios de forma sustentável.

A origem da LGPD está associada ao cenário mundial de proteção de dados pessoais, que exige regras específicas para a adequada utilização dos dados pessoais de seus titulares. Em razão do rápido crescimento tecnológico, com a quebra de barreiras geográficas possibilitadas pela rede mundial de computadores, não há mais espaço para um tratamento desordenado de dados pessoais.

Vale ressaltar a importância do tema, na medida em que a Constituição Federal de 1988, no seu artigo 5º, incisos X e XII, prevê a proteção à privacidade e ao sigilo das comunicações, além da garantia de habeas data, nos ditames do artigo 5º, LXXII e da lei 9.507/97. Importa evidenciar, ainda, os compromissos internacionais assumidos sobre a proteção de dados pessoais, como a convenção 108 sobre proteção de dados de 1981, da qual o Brasil está como observador desde outubro de 2018, fator também relevante para o ingresso como membro da Organização para a Cooperação e Desenvolvimento Econômico – OCDE1.

A LGPD enfatiza os titulares de dados pessoais, fornecendo-lhes direitos a serem exercidos durante toda a existência do tratamento dos dados pessoais do titular pela instituição detentora da informação, prevendo um conjunto de ferramentas, que, no âmbito público, traduzem-se em mecanismos que aprofundam obrigações de transparência ativa e passiva.

O objetivo da legislação específica, nesse contexto, é conferir segurança jurídica, padronização de normas e boas práticas de governança, promovendo a proteção aos direitos dos titulares dos dados pessoais em âmbito nacional2.

Nessa esteira, cabe esclarecer que é possível se considerar como “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A referida lei prevê os agentes de tratamento de dados pessoais: o controlador e o operador. O controlador é definido pela LGPD como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Por sua vez, o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Há, ainda, o Data Protection Officer (DPO) ou encarregado, que é o responsável por atender as demandas dos titulares, interagir com a Autoridade Nacional de Proteção de Dados (ANPD) e orientar funcionários e contratados quanto às práticas de proteção de dados pessoais.

A figura do DPO ganhou maior notoriedade a partir da publicação do GDPR (Regulamento Geral de Dados da União Europeia). Em suma, o citado profissional é um especialista na legislação que trata da proteção de dados, atuando no monitoramento e na consultoria de empresas, com vistas a garantir que elas estejam em compliance com as regras e as boas práticas do setor, devendo também intermediar os interesses da empresa (controlador) e do titular dos dados.

No Brasil, com a criação da LGPD (Lei Geral de Proteção de Dados) que se inspirou bastante no GDPR, o DPO recebeu o nome de encarregado e ganhou a seguinte definição, registrada no artigo 5º da lei: “pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados)“. Esse profissional, portanto, é de fundamental importância no cumprimento da legislação e na segurança da informação, funcionando como elo entre a empresa e os titulares dos dados coletados, também fazendo uma ponte com as autoridades reguladoras, garantindo que as determinações estipuladas pela LGPD sejam cumpridas, evitando problemas de uso inadequado de dados.

O texto da LGPD designa algumas atribuições para o encarregado, cuja identidade e as informações de contato poderão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. O artigo 41, § 2º, lista a rotina de demandas do DPO:

  • Aceitar reclamações e comunicações dos titulares e estar em contato com os titulares de dados, esclarecendo possíveis problemas e tomando as medidas cabíveis para resolvê-los;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Receber atualizações referentes à legislação e repassá-las aos gestores da empresa, guiando ações nas mudanças que forem exigidas;
  • Fornecer as diretrizes para o treinamento dos colaboradores da organização para que se adequem às boas práticas da utilização de dados,
  • Executar atividades atribuídas, verificando sempre se a ação corresponde aos requisitos fixados pelas normas legais.

Por sua vez, o parágrafo 3º do mesmo dispositivo ainda afirma que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições de encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, ou seja, essas tarefas podem ser adaptadas ou excluídas de acordo com orientação da ANPD, e o DPO poderá receber mais funções baseado no objetivo da empresa3.

A partir dessa premissa, deve-se mobilizar uma força de trabalho para identificar, separar e classificar a documentação física e a digital. Procura-se, assim, ordenar um processo de otimização e de gerenciamento de todas essas informações, identificando sua natureza, passando-se a trabalhar somente com o mínimo de informação possível, a fim de reduzir consideravelmente a quantidade de utilização desses dados.

Nesse sentido, depois de efetivada a organização e o mapeamento das informações, torna-se possível entender e solucionar quais dados precisarão ser tratados dentro de cada empresa e a especificidade de seu plano de negócios. Vale apontar que a avaliação periódica de impactos e de riscos ao negócio se torna, ainda, mais viável, visto que a gestão documental, já sistematizada, permite melhor previsibilidade de situações inesperadas.

Em verdade, a Lei Geral de Proteção de Dados – LGPD veio para facilitar os mecanismos atuais de gestão documental, além de preservar a privacidade dos funcionários e de terceiros de um modo geral, permitindo o descarte de informações inúteis, impróprias, bem ainda o foco no cuidado com as sensíveis, filtrando o que melhor pode ser aproveitado nas contratações, nos treinamentos e nos contínuos monitoramentos que fazem parte do cotidiano empresarial.

Convém aduzir, ainda, que outra forma de garantir a segurança no gerenciamento de dados, bem como assegurar a conformidade com as novas regras, é manter armazenadas apenas as informações necessárias para o dia a dia dos negócios ou pelo tempo determinado por lei, o que reduz os custos com armazenamento e infraestrutura, além de aumentar a segurança.

Nesse sentido, cabe asseverar que o encarregado de proteção de dados é um dos atores mais importantes no processo de cumprimento, pelas empresas, das disposições da lei em comento, uma vez que será este o profissional com a incumbência de observar os tratamentos do controlador, realizando análises e sugerindo planos de adequação e sustentação dos itens relacionados aos tratamentos de dados previstos na lei 13.709/18.

Diante do exposto, a escolha acertada de um Encarregado de Dados ou DPO é de fundamental importância para as empresas, visto que este será o profissional, nos ditames do art. 5º, VIII, da LGPD, o qual a representará na interlocução com a Autoridade Nacional de Proteção de Dados – ANPD e com os titulares dos dados pessoais, inclusive com aqueles que reclamarem perante estas instituições, pelo que terá, dentre outros, o encargo de evitar, por exemplo, demandas judiciais provenientes dessas reclamações e a incumbência primordial de garantir a privacidade e o tratamento dos dados dentro das empresas, com vistas a evitar a aplicação ulterior de sanções administrativas pelo Poder Judiciário e, por conseguinte, a concretizar a empreitada de adequação e manutenção da lei.

_________

1 Clique aqui 

2 A vigência da LGPD e o desafio de adequação no Brasil e do Brasil

3 Clique aqui

_________

 

Francisco Erasmo Ferreira da Costa Filho é advogado do Setor Cível e de Direito Digital, do escritório Aguiar Advogados. Pós-graduado em Direito Tributário.

 

Publicado em: https://migalhas.uol.com.br/depeso/334386/a-importancia-do-dpo-na-gestao-de-dados-empresariais

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *