05 nov A obrigatoriedade do DPO e a importância na escolha do profissional
A Lei Geral de Proteção de Dados (LGPD) é um tema que vem sendo tratado com relevância no mercado, considerando a sua obrigatoriedade e as consequências legais pelo seu descumprimento, contemplando como penalidades, por exemplo, multas ou até mesmo suspensão do exercício da atividade de tratamento de dados pessoais.
É fato que todas as pessoas naturais, jurídicas de direito público ou privado devem se adequar à legislação, no entanto, a escassez de profissionais capacitados para o desenvolvimento e implementação de um projeto capaz de colocar empresas em compliance com a Lei Geral de Proteção de Dados tem se mostrado um dificultador.
A LGPD traz como agente de tratamento, a figura do Encarregado Pelo Tratamento de Proteção de Dados Pessoais – popularmente conhecido como DPO (Data Protection Officer), sendo obrigatória, em regra, a sua existência.
Pela letra da Lei nº 13.709/2018 (LGPD) são quatro as responsabilidades do DPO:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Quando o legislador concede ao controlador a possibilidade de dar outras atribuições ao DPO distintas das mencionadas pela lei, significa dizer que o Encarregado pela Proteção dos Dados Pessoais pode ser, inclusive, o responsável por toda adequação da empresa no que se refere à proteção de dados.
Ainda, com as disposições previstas na Resolução nº 18 da ANPD, é de extrema importância que as empresas observem os requisitos e deveres para correta atuação do encarregado pelo tratamento de dados pessoais.
Somado aos fatos mencionados acima, é importante ressaltar que nem a resolução nem a legislação impõem requisito de certificação para se tornar um DPO (Data Protection Officer), circunstância em que há uma flexibilidade concedida aos controladores para escolher um encarregado pela proteção de dados. Em outras palavras, não é obrigatório nenhuma certificação para ser um DPO.
No entanto, considerando que o encarregado pela proteção de dados não é um cargo de pouca importância, de forma que sua atuação pode contribuir para diminuir ou aumentar os riscos da empresa, os controladores dos dados devem se atentar no momento de escolher e nomear o DPO, devendo observar a existência ou falta de algumas características que são essenciais para o desenvolvimento de um excelente trabalho.
Nesse sentido, passa-se, portando a elucidar alguns pontos de extrema valia para os empresários observarem antes de contratar ou nomear o Encarregado pela Proteção de Dados Pessoais.
A comunicação é uma característica essencial para o DPO (Data Protection Officer). No regramento da Lei Geral de Proteção de Dados Pessoais, uma das principais qualidades de um bom encarregado é ser um bom comunicador. Veja-se, três das quatro atribuições previstas na LGPD dizem respeito à comunicação. Não à toa, a LGPD define o encarregado como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
A LGDP determina a observância de uma série de direitos dos titulares, e nesse sentido, a maleabilidade do DPO fará diferença no resultado, uma vez que ele deve prestar esclarecimentos ao demandante, seja titular dos dados ou a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Nesse sentido, ter uma capacidade de adaptar sua linguagem perante os diferentes públicos com os quais precisa se comunicar é relevante no momento de escolha do profissional.
Como já mencionado, o Encarregado pela Proteção de Dados Pessoais é responsável por orientar os colaboradores e os contratados da empresa a respeito das práticas a serem adotadas em relação a proteção de dados pessoais, sendo, nesse trilhar, responsável pela conscientização no que diz respeito a LGPD. Dessa forma, ter didática como característica é recomendado, tendo em vista que sua missão é, também, garantir a cultura de privacidade.
Independentemente de ser um comunicador, ser maleável e ter didática, é evidente que o DPO, embora não necessite obrigatoriamente ter uma certificação específica, precisa ter conhecimentos técnicos para atuar na função.
O desafio, portanto, é escolher alguém capacitado e que possua competência técnica para desempenhar todas essas funções de maneira específica para as empresas, conhecendo os processos internos, objetivos estratégicos e as regulamentações próprias do setor.