O DPO (Data Protection Officer),também conhecido como Encarregado de Dados Pessoais, é o principal responsável por manter a conformidade das organizações com a LGPD, sendo considerado o verdadeiro guardião do Programa de Governança em Privacidade.
Segundo a Lei Geral de Proteção de Dados Pessoais (LGPD), o DPO deve ser uma pessoa, natural ou jurídica, indicada pelo controlador, para atuar, principalmente, como um canal de comunicação entre o agente de tratamento, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
A escolha do DPO ou do Encarregado de Dados Pessoais é desafiadora e estratégica para as organizações, pois em diversos casos, o profissional que irá assumir essa função já detém uma outra posição estabelecida dentro da empresa.
E aqui se encontra o primeiro grande risco do ponto de vista de obrigações de compliance. É que o Ministério do Trabalho, por meio da Classificação Brasileira de Ocupações, passou a regulamentar a função de Encarregado de Dados Pessoais, cabendo ao DPO, entre outras atribuições, as de:
Nesse sentido, em que pese não existir, a priori, a vedação legal de acúmulo de funções do ponto de vista da legislação de privacidade, é possível que certas situações possam vir a configurar uma possível ilegalidade, em razão da realização de atividades extras, sem qualquer acréscimo salarial por parte do colaborador.
Isso porque, “o acúmulo de função se caracteriza por um desequilíbrio qualitativo ou quantitativo nas funções inicialmente ajustadas entre empregado e empregador, quando então este passa a exigir daquele, concomitantemente, outros afazeres alheios ao contrato, sem a devida contraprestação. Segundo lição da doutrina, a função é um conjunto coordenado de tarefas e o simples exercício de algumas tarefas componentes de outra função não traduz, por si só, a ocorrência de uma alteração funcional no tocante a um dado empregado. Somente se pode cogitar de acúmulo funcional quando as atividades que o laborista sustenta ter exercido acumuladamente constituam, de fato, uma outra função, à luz das normas e demais regulamentos aplicáveis” (RO 0000724-68.2011.5.03.0144 MG 0000724-68.2011.5.03.0144, 4ª Turma, Rel. Des. Sueli Teixeira).
Assim, “o acúmulo de atividades correlatas e/ou complementares à função – e realizadas durante a jornada de trabalho – não implica acúmulo de funções, desde que compatíveis com a condição pessoal do trabalhador e que não provoque desvirtuamento da função principal (inteligência do parágrafo único, do CLT, art. 456)” (RO 0002031-10.2015.5.09.0028 PR, 7ª Turma, Rel. Des. Altino Pedrozo).
Diante desse contexto, cabe à Organização definir seu apetite de risco em relação ao tema, antes mesmo de designar um colaborador para exercer a função de DPO, a fim de se evitar futuros dissabores.
Por certo, conflitos de interesse poderão ocorrer quando o DPO ou o Encarregado de Dados Pessoais desempenhar uma função dentro da organização que o leve a determinar as finalidades e os meios de tratamento de dados pessoais, bem como os meios para a sua fiscalização.
Nesse contexto, o European Data Protection Board (EDPB), por meio das suas Orientações sobre os encarregados da proteção de dados (EPD), recomenda que, a depender das atividades, do tamanho e da estrutura da organização, pode ser uma boa prática para os agentes de tratamento:
O que se vê, portanto, é que a ausência de conflitos de interesses está intimamente ligada ao requisito de independência do DPO ou do Encarregado de Dados Pessoais. Assim, em que pese esteja autorizado a desempenhar outras tarefas, o DPO só pode ser incumbido de outras funções e atribuições se estas não derem origem a conflitos de interesses.
Segundo as Orientações sobre os encarregados da proteção de dados (EPD) da EDPB, “regra geral, os cargos suscetíveis de gerar conflitos no seio da organização podem incluir não só os cargos de gestão superiores (por exemplo, diretor executivo, diretor de operações, diretor financeiro, diretor do departamento médico, diretor de marketing, diretor dos recursos humanos ou diretor informático), mas também outras funções em níveis inferiores da estrutura organizacional, se esses cargos ou funções levarem à determinação das finalidades e dos meios de tratamento”.
Cabe mencionar aqui, inclusive, um caso emblemático envolvendo a Autoridade Belga de proteção de dados pessoais e uma operadora de telefonia local, em que houve a aplicação de multa de 50 mil euros, em razão de a empresa ter permitido que o DPO acumulasse a função de compliance officer, em nítido conflito de interesses.
Como se vê, o acúmulo de funções ou a simples designação de um colaborador para exercer a função de DPO não importa, a princípio, qualquer violação à legislação de privacidade, podendo, contudo, gerar situações que gerem riscos de compliance à organização.
A falta de capacidade técnica adequada para exercer a função de DPO ou de Encarregado de Dados Pessoais é um dos principais riscos de compliance pelos quais as organizações podem passar.
De acordo, com as Orientações sobre os encarregados da proteção de dados (EPD) da EDPB, o DPO deve ser designado com base nas suas “qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio das normas e práticas de proteção de dados, bem como na sua capacidade para desempenhar as respetivas funções”.
Por sua vez, “o nível necessário de conhecimentos especializados deverá ser determinado em função das operações de tratamento de dados realizadas e da proteção exigida para os dados pessoais objeto de tratamento. Por exemplo, se a atividade de tratamento de dados for particularmente complexa, ou se estiver em causa uma grande quantidade de dados sensíveis, o EPD poderá necessitar de um nível de competências e de apoio mais elevado”.
As competências e conhecimentos especializados pertinentes incluem:
Como se percebe, o conhecimento técnico por parte do DPO é condição indispensável para a devida adequação das organizações à LGPD, uma vez que elas precisam adotar medidas técnicas e administrativas aptas a traduzir os requisitos legais de privacidade e proteção de dados em ações e controles baseados em riscos, concretos e verificáveis.
Por essas razões, o DPO ou o Encarregado de Dados Pessoais precisa ter profundo conhecimento técnico, legal e das particularidades da organização, pois desempenhará uma função estratégica.
Devido as características inerentes à função, o DPO deve estar disponível para cumprir com prontidão suas responsabilidades, atendendo em tempo hábil às solicitações de titulares e autoridades, bem como, prestando orientações de forma devida e adequada para os colaboradores da organização, quanto a proteção e privacidade de dados.
Por essas razões, é imprescindível assegurar a dedicação exclusiva do DPO, a fim de que ele possa bem desempenhar seu papel e cumprir com suas responsabilidades.
O DPO é essencial para o cumprimento do accountability em relação a LGPD, participando diretamente na supervisão, implementação e consolidação de um programa de governança em privacidade de dados, nos moldes previstos no art. 50 da LGPD.
Na eventualidade do DPO interno estar impossibilitado de desempenhar efetiva e plenamente seu papel, a organização poderá sofrer riscos desnecessários ou descumprir requisitos legais e normativos, podendo redundar em penalizações administrativas ou judiciais.
Cabe considerar que a implementação de ações voltadas para proteção e privacidade de dados é complexa, o que requer por parte das organizações, planejamento e esforços concentrados, desenvolvidos de forma coordenada e bem direcionada. Sem a necessária dedicação do DPO, os esforços de adequação e conformidade à LGPD podem ser prejudicados.
De fato, o DPO precisa estar devidamente envolvido nas questões de proteção de dados, desde a análise de produtos, avaliações de risco e incidentes de segurança, participando de discussões e decisões relativas ao tratamento de dados.
O envolvimento do DPO é fundamental para o atendimento às expectativas das entidades reguladoras. Ao interagir com tais entidades – como é o caso da ANPD, a organização deve apresentar posições e abordagens consistentes e alinhadas às questões de privacidade de dados em todas as funções corporativas.
No cenário da proteção e privacidade de dados, o DPO desempenha um importante papel. A internalização dessas responsabilidades pode redundar em riscos paras as organizações, visto que o Encarregado de Dados Pessoais deverá estar preparado, tanto em termos comportamentais, quanto técnicos, para desempenhar uma série de atividades, tais como:
Por esse motivo, antes de internalizar a função de DPO ou de Encarregado de Dados Pessoais, recomendamos que a organização pondere os riscos de compliance, a fim de evitar possíveis situações indesejadas.
SAIBA POR QUE ESCOLHER A GEP
A GEP é uma consultoria empresarial especializada no oferecimento de projetos e soluções personalizadas, nas áreas de Proteção de Dados Pessoais, Integridade Empresarial, Compliance, Gestão de Riscos, Governança Corporativa e ESG.
Entregamos resultados e elaboramos projetos personalizados, de acordo co
Temos uma equipe com vasta experiência no mercado de Lei Geral de Proteção de Dados Pessoais – LGPD, Segurança da Informação, Compliance, Governança Corporativa e Práticas ESG
Utilizamos metodologia própria, mas sempre adaptada ao modelo de negócio dos nossos clientes
Acesse, em primeira mão, as nossas principais notícias diretamente em seu e-mail
Contatos
R. Ferreira Lima, 238, 2º Andar, Centro, Florianópolis - SC, 88015-420
Nossas Atuações
Consultoria
Assessoria
Auditoria
GEP Soluções em Compliance © 2024 - Anfi Consulting
