Principais dúvidas sobre a função de DPO (Data Protection Officer) ou encarregado, segundo a LGPD

Uma das ações importantes para a adequação à Lei Geral de Proteção de Dados Pessoais é a nomeação de um profissional que será o encarregado responsável pelo tratamento de dados pessoais na empresa, nos termos da LGPD. Conheça mais sobre essa função.

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). (LGPD art. 5º, VIII)

Qual exatamente será a função do encarregado em uma organização?
Primeiro é importante sabermos o que exatamente diz a Lei:

Tendo como base o texto da Lei e o que ocorre na Europa, onde a Lei de proteção de dados (GDPR) está bem mais consolidada, o encarregado deve atuar na governança de dados e será a ponte entre a empresa, os titulares dos dados pessoais e os órgãos fiscalizadores. Ele deve entender como funciona o fluxo de informações no negócio, orientar colaboradores sobre os novos requisitos de privacidade e supervisionar se as atividades internas são feitas de acordo com a legislação.

Data Protection Officer: Peça-chave para a segurança e conformidade das empresas na era digital.

Legenda:  Você sabe o que é um DPO e por que ele é tão importante para a sua empresa?
O Data Protection Officer é o profissional responsável por fazer a interface entre o titular dos dados, o agente de tratamento e a ANPD (Autoridade Nacional de Proteção de Dados). Também é sua responsabilidade orientar a organização para a qual trabalha em relação às melhores práticas no tratamento de dados. Com habilidades em gestão de risco, conhecimento profundo da LGPD e capacidade de conscientizar colaboradores, o DPO é essencial para mitigar riscos e proteger seu negócio de penalidades. Nós da Diferenciall dispomos do serviço de DPOaaS, cobrindo todos os aspectos necessários ao cenário da empresa contratante.

Confira as principais dúvidas mapeadas sobre essa nova função:

1. O encarregado deve ser um profissional interno ou externo?
O encarregado pode ser pessoa interna ou externa à empresa, podendo ser mesmo pessoa jurídica, no caso de externa, mas deve ter autonomia, autoridade e independência para poder definir, orientar e fiscalizar as ações de adequação e manutenção da conformidade legal. Geralmente fica na segunda linha de defesa da estrutura organizacional, entre os processos operacionais e de auditoria, tendo papel fundamental na disseminação da cultura da privacidade. Portanto, o indicado é que ele, o encarregado interno ou externo, esteja posicionado de forma a evitar conflito de interesse entre suas atividades e as atividades operacionais, tanto dos processos de negócio quanto de tecnologia da informação, respondendo para a alta direção da empresa.
Tendo a Diferenciall na função de encarregado (DPOaaS), representada por profissional capacitado e experiente, sua empresa poderá contar com toda uma estrutura de suporte nas mais diversas disciplinas necessárias à função, como jurídico, privacidade, proteção de dados, segurança da informação, tecnologia e processos.

2. Quais são os benefícios de contratar um encarregado (DPO) externo?
Como já dissemos, ter um profissional é bem diferente de ter uma empresa nesta função, pois ao contar com uma empresa você ganha diversos profissionais das mais variadas especialidades, a depender de suas necessidades pontuais. Note que é bem diferente ter um profissional como encarregado do que ter uma empresa com vários especialistas como encarregado.
Além disso, ao nomear um funcionário interno como encarregado você acaba por desviá-lo da sua função original, dispersando sua atenção para mais uma atividade crítica, que em muitos casos requer atenção plena no monitoramento das ações e comunicações.

3. Todas as empresas devem contratar um encarregado?
Inicialmente sim, contudo, a Autoridade Nacional de Proteção de Dados (ANPD) já publicou normativa que flexibiliza a obrigatoriedade de ter um encarregado para micro e pequenas empresas – RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022.
Importante saber que a não nomeação do encarregado não isenta a empresa de cumprir as atividades que estão elencadas para esta função, como receber as reclamações e fiscalizações, orientar a empresa e terceiros sobre as práticas necessárias.

Embora a ANPD ter flexibilizado alguns pontos da LGPD para pequenas e médias empresas, o que temos visto no mercado é que a maioria continua com a obrigação de cumprirem os requisitos iniciais, pois que prestam serviços para empresas maiores que têm obrigação de cumprir todos os requisitos da LGPD na sua plenitude, o que acaba por envolver as empresas menores que atuam como operadoras de dados de suas contratantes.

De qualquer forma, com ou sem a obrigatoriedade legal de ter um encarregado nomeado, entendemos que a empresa só tem a ganhar com tal nomeação, pois terá alguém observando as questões relativas à LGPD e privacidade de forma mais ampla, preservando a reputação da empresa e sua relação com os titulares de dados. Para as contratantes (Controladoras de dados pessoais) será um diferencial ter suas contratadas (Operadoras de dados pessoais) com este tema sendo acompanhado de perto por um encarregado, principalmente se for uma consultoria como a Diferenciall.

A Diferenciall poderia ser meu Encarregado – DPO?

A Diferenciall tem profissionais especialistas e certificados para atender sua empresa nas necessidades de adequação às regras da LGPD. São profissionais com grande experiência em tecnologia, gestão, processos, segurança da informação, privacidade e mesmo em educação e treinamentos, que são os pilares para uma adequação consistente.

Temos pacotes de serviços de DPOaaS – Encarregado como serviço, personalizados para atender a necessidade específica de cada empresa. Agende uma reunião com nossos especialistas e vamos conversar sobre o que a sua organização demanda sobre o assunto!