DPO: o que é, o que faz e qual a importância do encarregado de dados
Os nomes são variados — em português, o encarregado de dados. Em inglês, data protection officer (daí a sigla DPO). Mas também há quem chame de executivo de proteção de dados e outras traduções livres. Independente da nomenclatura, estamos falando sobre a mesma coisa: o novo profissional que ganhou destaque no Brasil após a aprovação da Lei Geral de Proteção de Dados (LGPD), que, por sua vez, importou tal conceito do regulamento europeu General Data Protection Regulation (GDPR).
Para muitas pessoas, o papel do DPO ainda não está muito claro — porém, lhe garantimos que não há mistério. Resumidamente, o encarregado de dados é aquele colaborador responsável por supervisionar todo o procedimento de processamento de dados pessoais dentro de sua empresa, dando orientações sobre as melhores práticas a respeito de privacidade de informações sensíveis e servindo como ponte de contato entre seu empreendimento e a Autoridade Nacional de Proteção de Dados (ANPD).
A LGPD criou uma série de obrigações para as empresas. O uso de informações do titular dos dados, agora, deve ser justificado para fins específicos e nas condições que a lei autoriza. Além disso, os civis ganharam uma série de direitos, incluindo a possibilidade de consultar, retificar, transferir ou até solicitar a total exclusão de seus dados dentro de um prazo legal. As empresas que não garantirem conformidade com essas regras estão sujeitas a uma série de penalidades, incluindo multas que podem chegar a R$ 50 milhões.
Responsabilidades do DPO
E é daí que nasce a necessidade de ter um encarregado de dados em seu quadro de funcionários. O DPO é um profissional que, acima de tudo, possui um amplo conhecimento a respeito da LGPD (por conta disso, a maioria deles possui formação acadêmica na área de advocacia, embora isso não seja uma regra) e também uma vasta experiência com segurança da informação. Mesclando essas duas expertises, ele garantirá que “está tudo nos conformes” e que o compliance com a lei está garantido.
Mas o que exatamente significa garantir que “está tudo nos conformes”? Bom, esse executivo deve supervisionar absolutamente tudo o que envolve dados pessoais dentro da empresa. Suas funções incluem:
-
Mapear todos os dados que entram e são armazenados, mesmo aqueles que, a princípio, parecem “invisíveis” por não fazerem parte do core business do empreendimento;
-
Garantir que os procedimentos de coleta, armazenamento e processamento estejam de acordo com as regras da LGPD, com uma ferramenta bem clara de consentimento quando necessária e sem o cometimento de abusos com os dados dos titulares;
-
Elaborar e atualizar uma política de privacidade clara, que demonstre e explique aos titulares, da maneira mais acessível possível, como e para que esses dados serão utilizados;
-
Atender as requisições dos titulares, garantindo que eles possam exercer todos os direitos citados anteriormente;
-
Promover uma cultura de privacidade em toda empresa, incentivando a minimização da coleta, a anonimização de dados e eventualmente participando de programas de conscientização, para que todos os processos corporativos levem em consideração a mentalidade “privacy-first”.
Perante a ANPD
Mas, claro, as responsabilidades não param por aí. Todos nós sabemos que, mesmo com investimentos e esforços em segurança da informação, incidentes podem acontecer — incluindo os tão temidos vazamentos de dados. No caso de um episódio desse tipo, é o encarregado de dados que fará a ponte de comunicação entre a empresa e a Autoridade Nacional de Proteção de Dados, tal como quaisquer outros órgãos competentes que venham a se envolver na investigação.
Por conta disso, também é crucial que um bom DPO tenha ótimas habilidades de comunicação interpessoal, saiba lidar com crises e gerenciar problemas rotineiros relacionados com o correto tratamento de dados. Trata-se de uma profissão em ascensão, para a qual já existem diversas certificações e a tendência é que a demanda por esse tipo de especialista só cresça ao longo dos próximos anos.
Produção: Equipe de Conteúdo Perallis Security