whatsapp anchor

Encarregado de Dados (DPO): a figura que a sua empresa necessita para alçar voos seguros!

Escrito por CHC Advocacia

DPO

Atenção passageiros! 

Temos certeza que você provavelmente já ouviu falar sobre DPO ou Encarregado de Dados e não entendeu do que se tratava. Mas calma!

Vamos te explicar tudo sobre esses termos. Para isso, basta que prossiga a leitura e permaneça atento às orientações dos nossos comissários.

1.  Preparativos para decolar: definições relativas à proteção de dados.

Sejam bem vindos a bordo.

Observe o número de seu assento no cartão de embarque.

Por medidas de segurança, acomodem as bagagens de mão nos compartimentos acima de seus assentos, e as que não couberem, abaixo da poltrona à sua frente.

Essas bagagens podemos denominar como dados pessoais. Apenas para relembrarmos, os dados pessoais são aquelas informações que permitem identificar um indivíduo, por exemplo: nome, CPF, biometria, imagem, dentre outros.

No nosso avião, existem dois tipos de compartimentos para armazenamento dos dados pessoais: os que ficam na cabine, permitindo um acesso mais facilitado pelos demais tripulantes do avião; e aqueles que ficam em compartimento específico para tal fim, portanto, mais isolado e restrito apenas a algumas pessoas.

Na lógica empresarial, poderíamos destinar o compartimento mais restrito e seguro aos dados pessoais sensíveis, ou seja, aqueles que podem ensejar um fim discriminatório, e portanto, merecem maior atenção e proteção; e ao compartimento da cabine, os dados pessoais mais comuns.

Mas não para por aí!

Depois de corretamente armazenados os dados, devemos destacar os agentes envolvidos nessa operação. Primeiro, temos o piloto, que nesse caso denominaremos de controlador de dados. Ele será o responsável por definir o que será feito com esses dados.

Na sequência, temos os comissários de voo, que serão denominados como operadores de dados. Eles receberão as ordens diretamente do piloto, ou controlador, para realizar o tratamento desses dados.

E, por fim, temos a figura que nos interessa, o encarregado de dados, ou a sua derivação inglesa, D.P.O. (Data Protection Officer), que seria o responsável pela torre de controle do nosso aeroporto [empresa].

Ah, não podemos esquecer de uma figura muito importante: a ANPD, que no nosso exemplo seria equivalente a ANAC. A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública federal instituído pela Lei Geral de Proteção de Dados (LGPD) para, principalmente, regular e fiscalizar questões relacionadas à proteção de dados nacionalmente.

Todos esses agentes formam a cultura de proteção de dados dentro da empresa. Se você ainda tem dificuldades em entender essas questões, não deixe de conferir nosso artigo LGPD: como implementar a Lei Geral de Proteção de Dados na sua empresa.

2. A decolagem: como funciona uma operação de dados?

Antes de propriamente definirmos o conceito de DPO, devemos destacar como geralmente acontecem os tratamentos de dados, ou seja, as operações que se utilizam dos dados pessoais.

Em um primeiro momento, o passageiro [titular dos dados] chega no aeroporto [empresa] e lhe fornece suas bagagens [dados pessoais]. Nesse ponto, devemos destacar que, assim como as bagagens nos aeroportos, esses dados são fornecidos para uma finalidade específica, e continuam pertencendo ao seu titular, durante todo o tratamento realizado.

Após todos esses trâmites iniciais, os dados são armazenados dentro dos aviões, nos quais ocorrerão as operações, como o compartilhamento de dados, nos quais esses são enviados a um outro aeroporto [empresa].

Para que essas operações sejam realizadas, dependemos das ordens de um superior [piloto], que dirá aos operadores [comissários], o que devem fazer com esses dados.

Atenção tripulação, decolagem autorizada!

No meio do caminho, podem ocorrer incidentes, como o extravio de bagagens, ou até mesmo uma pane geral no avião, que causa o que denominamos de incidentes de dados. O mais comum deles é o vazamento, que é quando essas bagagens são disponibilizadas indevidamente, sem o consentimento do titular, ou outra base legal que a autorize. 

A empresa deve se precaver ao máximo para que essas situações não aconteçam, pois os prejuízos podem ser enormes. Tem dúvidas de como se proteger? Não deixe de conferir nosso artigo Vazamento e roubo de dados: como acontecem e como se precaver.

Quando ocorrem esses incidentes, a ANPD deve ser comunicada, para que as medidas administrativas necessárias sejam tomadas.

Até então, falamos sobre o procedimento aéreo que você conhece. Mas tem um agente que atua nos bastidores para o voo ocorrer com sucesso, que muitas vezes nem percebemos. Estamos falando sobre a torre de controle. Todo o aeroporto possui uma torre que controla todo o andamento do local, para que os voos ocorram sem nenhum problema.

Na figura da nossa empresa, o encarregado de dados se encontraria exatamente nessa posição. Ele é o agente responsável por coordenar os bastidores para que a proteção de dados da empresa seja um sucesso!

3. Em voo: o que é o encarregado de dados (DPO)?

O encarregado de dados é uma definição trazida pelo art. 5º, VIII, da LGPD (Lei nº 13.709/2018). É a pessoa, física ou jurídica, que atuará como um verdadeiro canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Além disso, a lei não discrimina requisitos para desempenhar essa função. Portanto, o encarregado de dados pode ser desde um funcionário da própria empresa como um terceirizado.

No entanto, apesar da LGPD não impor requisitos, o DPO necessita de ter o mínimo de conhecimento em proteção de dados, devido às funções que desempenhará na empresa.

Na analogia que estamos utilizando, ele não necessita de deter os mesmos conhecimentos técnicos que o piloto para poder conduzir os dados, porém precisa saber o mínimo para controlar de longe e não deixar os aviões colapsarem causando incidentes.

Logo, para conseguir fazer essa intermediação, o DPO precisa de estar a par de tudo que está acontecendo na empresa em relação à proteção de dados.

Por exemplo, se um titular entra em contato com a empresa, solicitando quais dados essa tem armazenados, o DPO precisa informar exatamente as informações solicitadas. Por outro lado, caso ocorra um incidente, ele precisa saber preencher um relatório com uma série de informações sobre os dados perdidos para a ANPD.

4. As funções da torre de controle: o que faz o DPO?

A Lei Geral de Proteção de Dados descreve ainda, por meio do art. 41, quais são as funções próprias do DPO, as quais elencamos abaixo:

4.1 Comunicações com os titulares

Os titulares vão fornecer para a sua empresa os seus dados pessoais. Esse fato gera a eles uma série de direitos frente a empresa. Como exemplo, temos um dado pessoal fornecido através do consentimento.

O cliente deseja receber as principais ofertas da empresa por meio do seu e-mail. Desse modo, você como representante da empresa irá fornecer um termo de consentimento ao titular, seu cliente, para que esse consinta expressamente que a empresa pode armazenar e utilizar o seu e-mail com o fito de disparar as ofertas.

Até aí tudo bem…

Porém, um ano após, o titular decide que não tem mais interesse em receber essas ofertas e deseja revogar este consentimento. Para isso, entrará em contato com a empresa. Quem deve receber essa solicitação e realizar todos os trâmites necessários é o DPO.

Desse modo, o DPO atuará como o canal de comunicação entre a empresa e os titulares em assuntos relacionados à proteção de dados.

Um outro exemplo que podemos citar é o caso em que um de seus clientes queira se informar sobre quais dados estão sendo armazenados. Quem deverá proceder com essa comunicação é o DPO.

Além disso, o titular pode pedir outras informações, como a finalidade do armazenamento dos dados, e o DPO deve estar preparado para responder esses questionamentos. Também deve configurar como um canal aberto frente a esclarecimentos e reclamações.

A recomendação para as empresas é que divulguem o máximo possível o contato desse encarregado para os titulares, por meio de suas plataformas digitais e sede física, para facilitar esse acesso.

4.2 Comunicações com a ANPD.

Uma outra função desempenhada pelo DPO é a comunicação com a ANPD. 

Esse canal de comunicação é de extrema relevância. Pois, como a ANPD é a agência reguladora nesse caso, vários direcionamentos serão encaminhados às empresas, os quais serão recepcionados pelo DPO. Além disso, em caso de denúncias, o DPO deve estar preparado para responder sobre os questionamentos realizados pela ANPD.

Por outro lado, também é necessária a comunicação inversa, ou seja, da empresa para com a ANPD.  Como já citamos, em casos de incidentes, é imprescindível que o DPO comunique a ANPD o quanto antes, de forma extremamente detalhada, o ocorrido.

4.3 Orientações aos novos funcionários.

Assim como os aviões, a cultura de proteção de dados também precisa estar sendo constantemente monitorada. Isso pois, falhas são suscetíveis, então sempre é preciso realizar a devida manutenção.

Além disso, toda vez que um novo comissário ou piloto é contratado, esse precisa saber das diretrizes que aquela empresa segue quanto à proteção de dados. Essa é mais uma das funções do encarregado de dados.

Por isso, se você acredita que a adequação à LGPD ocorre apenas uma vez e está tudo pronto…. bem, temos uma notícia a te dar. Na verdade, uma adequação bem sucedida é um trabalho constante de atualização e aprimoramento. Afinal, pequenas falhas podem causar problemas gigantescos. Portanto, o DPO deve sempre estar atento para se a cultura de proteção de dados está sendo seguida corretamente.

Parte disso está em verificar se os novos colaboradores da empresa estão a par das determinações de proteção de dados e compreenderam sua relevância. 

Ainda tem dúvidas como se adequar corretamente à LGPD? Não deixe de conferir nossas 8 dicas práticas de como implementar a LGPD na sua empresa! Spoiler: no minuto 10:12 falamos sobre a importância do treinamento da equipe na adequação à LGPD.

4.4 Cumprir ordens do controlador ou normas complementares.

Além de todas as funções descritas acima, que já são definidas pela LGPD como próprias do DPO, ainda existe a possibilidade do controlador destinar alguma função extra para o encarregado.

Desse modo, apenas será possível compreender ao certo todas as funções a serem desempenhadas com base na rotina de cada empresa.

Ademais, a ANPD também pode editar normativas específicas que criem novas funções ao DPO.

4.5 Disposições pela ANPD.

A ANPD, como agência reguladora, dispõe da competência, por exemplo, de dispensar a necessidade de um DPO. Porém, como esse órgão foi recém criado, ainda não há regulamentações nesse sentido. 

Portanto, como já devidamente destacado, é essencial que o DPO esteja sempre a postos no site oficial da ANPD, apertando F5 freneticamente, para não perder nenhuma nova regulamentação que o atinja.

Vamos relembrar? Sistematizamos na tabela abaixo todas as funções desempenhadas pelo DPO, ou encarregado de dados:

DPO

5. Quais habilidades são necessárias para o DPO?

Diante de todo o exposto, podemos perceber que ainda não existe uma orientação clara de quais habilidades esse profissional deve possuir. Porém, na prática, é notável que ele deve possuir um pouquinho de tudo.

Como assim CHC?

Ele deve saber como os pilotos conduzem os aviões, como os comissários atuam e onde e como as bagagens estão armazenadas. Em outras palavras, o encarregado deve saber quais ordens são emitidas pelo controlador para os operadores atuarem frente aos dados. Além disso, saber quais dados estão sendo armazenados, onde e para qual finalidade.

Para tanto, é interessante que esse profissional tenha habilidades nas áreas jurídica, de tecnologia da informação, gestão, compliance e também comunicação.

Todas essas habilidades, quando utilizadas em conjunto, permitirão que o DPO atue seguindo as disposições da LGPD, das normas regulamentadoras da ANPD e da segurança da informação. Além disso, é essencial que conheça dos riscos tecnológicos do tratamento de dados e compreenda como funcionam os fluxos informacionais da empresa.

DPO

Algo que já está sendo uma prática no mercado, é a certificação de DPO, que apesar de não ser necessária, já está sendo considerada um diferencial para os profissionais que desejam atuar nessa área. Algumas empresas no momento da contratação até mesmo elencam como requisito.

6. Voo solo: O DPO atua sozinho?

Uma grande dúvida é se o encarregado de dados necessita de ser apenas uma pessoa. No entanto, vamos voltar ao nosso exemplo. Sabemos que no Brasil temos aeroportos de diversos tamanhos, e é exatamente isso que define a quantidade de pessoas necessárias para compor a torre de controle. Isso porque, não faria sentido um aeroporto que comporta apenas cinco voos por dia, possuir 20 pessoas destinadas a fazer esse controle.

Essa é a mesma lógica do encarregado de dados. Quando falamos de uma pequena ou média empresa, essa provavelmente não trata a quantidade de dados que uma multinacional comporta. Portanto, a quantidade de pessoas que desempenharão essa função varia conforme as necessidades de cada empresa.

Para observarmos de uma forma mais prática, podemos citar como exemplo o Google. Você sabia que o google armazena diariamente diversos dados a seu respeito? Desde dados sobre suas preferências, advindos dos cookies, até seus dados de geolocalização. 

E como qualquer outra empresa, ele é obrigado a te fornecer quais dados estão sendo armazenados sobre você. Para isso, basta preencher um formulário, disponível aqui, solicitando quais dados estão sendo armazenados, que eles irão te informar em 10 dias.

Já adiantamos: não se assuste com a quantidade de informações que você receberá!

Nesse sentido, imagina a quantidade de solicitações que o Google recebe no mundo todo sobre essa questão. Portanto, necessita de uma equipe bem formada para conseguir responder a todas elas.

Desse modo, a figura do encarregado de dados do Google necessita de muito mais pessoas envolvidas do que de uma empresa local da sua cidade.

Bônus: DPO as a service.

Dentro de instantes estaremos pousando no Aeroporto.

Mantenham os encostos da poltrona na posição vertical e suas mesas fechadas e travadas.

Observem os avisos luminosos de apertar cintos.

E se preparem para uma super dica bônus: o DPO as a service.

O DPO as a service é um modelo que veio do exterior, visto que legislações estrangeiras, como a GDPR, já estão em vigor há mais tempo, o que permitiu a criação de novas modalidades. Basicamente, o DPO as a service surge como uma empresa especializada apenas nessa função, que possui diversos profissionais capacitados para atuar no cargo de encarregado.

Desse modo, ao invés de ter que capacitar um de seus colaboradores para atuar como DPO, basta que você contrate o serviço de DPO dessas empresas especializadas. A grande vantagem é contar com um especialista na área que sempre vai estar atualizado frente às últimas regulamentações em relação à proteção de dados.

Essa terceirização é possível justamente devido a LGPD não restringir o cargo de encarregado a pessoa física e funcionário da empresa. 

Essa pode ser uma boa solução caso você não possua em sua empresa alguém que detenha os conhecimentos necessários para desempenhar a função de encarregado de dados (DPO).

Compreendeu tudo sobre Encarregado de Dados (DPO), mas ainda sim ficou com um gostinho de quero mais para aprender sobre proteção de dados? Aproveite e leia agora nosso Manual da LGPD: o que muda para a sua empresa e 7 dicas para se adequar.

Senhoras e senhores, chegamos ao final do nosso artigo. Esperamos que tenham aproveitado a leitura e nos acompanhem em nossas próximas publicações. Tenham cuidado ao abrir o compartilhamento de bagagem para retirada de seus pertences de mão. Eles podem ter se deslocado durante o voo. Agradecemos por terem escolhido a CHC e nos encontramos na sua próxima leitura!

Se você ficou com alguma dúvida sobre o assunto, a CHC Advocacia pode te ajudar nesse e em vários outros temas de seu interesse! Inscreva-se no nosso 🎬 Canal do Youtube e visite o perfil da 📸 @chcadvocacia no Instagram, garantimos que você vai compreender o Direito com informação de qualidade e uma pitada de bom humor. 🎧 Ouça ainda os episódios do Podcast JusTaPop, a sua conexão com o #DireitoDescomplicado.

Quer mais? Convidamos você a fazer parte da nossa Comunidade no 📲 Telegram, lá você receberá na palma da sua mão nossos materiais, dicas práticas e ainda terá acesso aos conteúdos exclusivos para os inscritos no canal. 

A CHC Advocacia é formada por uma equipe multidisciplinar e está pronta para atender eventuais demandas da área digital. Caso você precise de algum esclarecimento adicional em relação ao tema que tratamos nesse artigo, preencha o formulário abaixo que entraremos em contato para sanar suas dúvidas.

Deixe um comentário