DMA Blog

A Lei Geral de Proteção de Dados (LGPD) é um tema que vem sendo tratado com relevância no mercado, considerando a sua obrigatoriedade e as consequências legais pelo seu descumprimento, contemplando como penalidades, por exemplo, multas de 2% do faturamento limitada a R$50.000.000,00 (cinquenta milhões de reais) ou até mesmo suspensão do exercício da atividade de tratamento de dados pessoais.

É fato que todas as pessoas naturais, jurídicas de direito público ou privado devem se adequar à legislação, no entanto, a escassez de profissionais capacitados para o desenvolvimento e implementação de um projeto capaz de colocar empresas em compliance com a Lei Geral de Proteção de Dados tem se mostrado um dificultador.

A LGPD traz como agente de tratamento, a figura do Encarregado Pelo Tratamento de Proteção de Dados Pessoais – popularmente conhecido como DPO (Data Protection Officer), sendo obrigatória, em regra, a sua existência.

Pela letra da Lei nº 13.709/2018 (LGPD) são quatro as responsabilidades do DPO:

• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade nacional e adotar providências;
• orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
• executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Quando o legislador concede ao controlador a possibilidade de dar outras atribuições ao DPO distintas das mencionadas pela lei, significa dizer que o Encarregado pela Proteção dos Dados Pessoais pode ser, inclusive, o responsável por toda adequação da empresa no que se refere à proteção de dados.

Somado aos fatos mencionados acima, é importante ressaltar que a legislação não impõe pré-requisitos para se tornar um DPO (Data Protection Officer), circunstância em que há uma flexibilidade concedida aos controladores para escolher um encarregado pela proteção de dados. Em outras palavras, não é obrigatório nenhuma certificação para ser um DPO.

No entanto, considerando que o encarregado pela proteção de dados não é um cargo de pouca importância, de forma que sua atuação pode contribuir para diminuir ou aumentar os riscos da empresa, os controladores dos dados devem se atentar no momento de escolher e nomear o DPO, devendo observar a existência ou falta de algumas características que são essenciais para o desenvolvimento de um excelente trabalho.

Nesse sentido, passa-se, portando a elucidar alguns pontos de extrema valia para os empresários observarem antes de contratar ou nomear o Encarregado pela Proteção de Dados Pessoais.

A comunicação é uma característica essencial para o DPO (Data Protection Officer). No regramento da Lei Geral de Proteção de Dados Pessoais, uma das principais qualidades de um bom encarregado é ser um bom comunicador. Veja-se, três das quatro atribuições previstas na LGPD dizem respeito à comunicação. Não à toa, a LGPD define o encarregado como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

A LGDP determina a observância de uma série de direitos dos titulares, e nesse sentido, a maleabilidade do DPO fará diferença no resultado, uma vez que ele deve prestar esclarecimentos ao demandante, seja titular dos dados ou a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Nesse sentido, ter uma capacidade de adaptar sua linguagem perante os diferentes públicos com os quais precisa se comunicar é relevante no momento de escolha do profissional.

Como já mencionado, o Encarregado pela Proteção de Dados Pessoais é responsável por orientar os colaboradores e os contratados da empresa a respeito das práticas a serem adotadas em relação a proteção de dados pessoais, sendo, nesse trilhar, responsável pela conscientização no que diz respeito a LGPD. Dessa forma, ter didática como característica é recomendado, tendo em vista que sua missão é, também, garantir a cultura de privacidade.

Independentemente de ser um comunicador, ser maleável e ter didática, é evidente que o DPO, embora não necessite obrigatoriamente ter uma certificação específica, precisa ter conhecimentos técnicos para atuar na função.

O desafio, portanto, é escolher alguém capacitado e que possua competência técnica para desempenhar todas essas funções de maneira específica para as empresas, conhecendo os processos internos, objetivos estratégicos e as regulamentações próprias do setor.