DPO terá novo perfil a partir de sanção presidencial à redação da LGPD
12 de julho de 2019Com a sanção do Planalto à redação final da Lei Geral de Proteção de Dados (13.815/19 ) e MP869/18, que resultou no PVL 7/19 , foi vetada a necessidade de o Data Protection Officer (DPO) ter conhecimentos jurídicos para exercer o cargo
O impacto dessa medida e de outras sobre o perfil e função do “Encarregado” é analisada nesta entrevista pelo advogado Paulo Vinícius de Carvalho Soares, especialista em Direito Digital, Sócio e DPO da Lee, Brock, Camargo Advogados (LBCA).
Crypto ID: Qual a função do Data Protection Officer (DPO) ou Encarregado dentro de uma empresa? A sanção presidencial à LGPD alterou muito o perfil desse profissional?
Paulo Vinícius: A sanção presidencial vetou a necessidade de o Data Protection Officer ter formação jurídica. A designação do DPO deve ser realizada em função das competências profissionais, em especial dos conhecimentos avançados de proteção de dados e que seja capaz de cumprir as tarefas relacionadas com a segurança e proteção de dados. Por exemplo, o DPO deve ter as seguintes funções:
– Sensibilização e informação de todos que tratem dados pessoais;
– Assegurar o comprimento das políticas de privacidade e proteção de dados;
– Controlar e regular a conformidade do LGPD;
– Recolher informação para identificar atividades de tratamento;
– Controlar e acompanhar a produção do RIPD – Relatório de Impacto sobre Proteção de Dados;
– Promover as abordagens de Privacidade por Desenho e por Padrão;
– Realizar a avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento;
– Recolher informação para identificar atividades de tratamento;
– Manter atualizado os registros das atividades de tratamento de dados;
– Controlar o cumprimento das cláusulas de proteção de dados junto aos fornecedores;
– Promover formações de boas práticas para a proteção de dados;
– Ser o ponto de contato com os titulares de dados de forma a esclarecer questões relacionadas com o tratamento dos dados;
– Ser o ponto de contato com as autoridades de controle;
Crypto ID: O que nos ensinou a experiência europeia por meio do Regulamento Geral sobre a Proteção de Dados (GDPR), em vigência há um ano?
Paulo Vinícius: Na Europa, o DPO (pessoa física ou jurídica) tem sido nomeado para as funções previstas no artigo 37 da GPDR e seu trabalho nas empresas não tem sido feito sozinho.
O que se tem visto é a criação de comissões de implementação e auditoria de proteção de dados, as quais possuem formação multidisciplinar para auxiliar o DPO não só na verificação da conformidade da empresa com relação a GPDR, mas também no desenvolvimento de produtos, relação com fornecedores (vendors) e seus stakeholders.
Crypto ID: Por onde começa o Trabalho do DPO? Por orientar a empresa sobre a proteção de dados, criando protocolos internos e treinamento colaboradores?
Paulo Vinícius: O trabalho do DPO começa com a conscientização de todos os colaboradores sobre a importância da segurança da informação, da privacidade e por consequência da proteção de dados pessoais por meio de treinamentos, criação de políticas de privacidade interna e externas.
Crypto ID: O DPO precisa conhecer ao mesmo tempo a legislação (jurídico) e as medidas de segurança (TI) para executar bem seu trabalho?
Paulo Vinícius: O DPO deve ter conhecimento multidisciplinar, conciliando temas das áreas de tecnologia, gestão da informação e jurídica, podendo ser auxiliado por uma comissão de especialistas com profundo conhecimento nestas áreas para auxiliar na implementação dos mapeamentos, elaboração de DPIA e criação das políticas.
Crypto ID: Cabe ao DPO prestar informações à ANPD. Qual sua expectativa sobre o trabalho dessa nova agência?
Paulo Vinícius: Uma das funções do DPO é prestar informações às autoridades públicas, dentre elas a Autoridade Nacional de Proteção de Dados, mas não se limitando a esta, como, por exemplo, o Ministério Público, PROCONs, SENACON, entre outros.
A Autoridade Nacional de Proteção de Dados terá uma grande tarefa de regulamentar diversos pontos da LGPD que não foram tratados amiúde pela Lei, diferentemente do que foi feito com a GPDR Europeia.
Além das questões normativas, espera-se que a ANPD também funcione como órgão consultivo para que os envolvidos com a LGPD façam consultas sobre as melhores práticas.
Outro ponto a se destacar é a previsão de uma Ouvidoria, a qual poderá ter a função de ser um ponto focal sobre descumprimentos de normas de proteção de dados como se dá com a ANATEL, ANEEL, etc.
Crypto ID: O DPO deve ter autonomia para realizar seu trabalho? No que sua atividade conflita com o controlador e o operador?
Paulo Vinícius: O DPO deve ter autonomia geral e irrestrita para realizar seu trabalho de maneira que possa ter acesso aos fluxos de dados e aos comandos dos controladores para avaliar se está em compliance com as normas de proteção de dados.
O DPO assume, assim, a responsabilidade na aplicação da estratégia para proteção dos dados e conformidade da LGPD. No entanto, todo o descuido em eventuais não conformidades e incidentes ou violações serão imputadas ao controlador ou ao operador.
Crypto ID: O DPO enfrenta um conflito – ao mesmo tempo que protege os dados armazenados, tem de conviver com o desenvolvimento da empresa (IA), que pode apresentar muitas “áreas cinzentas”. Como resolver esse impasse?
Paulo Vinícius: É recomendável que o DPO seja incluído nas discussões sobre desenvolvimento de produtos e serviços das empresas de modo a garantir que as inovações seguirão o princípio do privacy by design, referendando que os dados pessoais que, porventura, venham a ser tratados tenham uma base legal sólida para tanto sem que se coloque em risco a empresa por um ato de desconformidade com a LGPD.
Crypto ID: É importante que o DPO tenha amplo trânsito com o C-Level da empresa?
Paulo Vinícius: É fundamental que o DPO tenha amplo trânsito com o C-Level da empresa bem como que o C-Level reconheça e acate as diretrizes de proteção de dados que sejam indicadas pelo DPO para garantir a conformidade da empresa com as regras da Lei Geral de Proteção de Dados, nos ambientes internos e externos.
Para tanto, se mostra necessário a integração das equipes multidisciplinares que formam a empresa (RH, Marketing, Financeiro, Tecnologia, Departamento Pessoal, TI etc.) para que se garanta a unidade da política geral de tratamento de dados.
Não basta implementar a política de segurança de dados pessoais, a auditoria constante dos setores também se mostra como prática muito recomendável.
Crypto ID: A LGPD entrará em vigor em 2020. Quando as empresas precisam começar a se preocupar com a implementação do DIPO?
Paulo Vinícius: As empresas devem se preparar desde já com a implementação, na medida em que: (I) o processo de implementação e treinamento dos membros das empresas leva, no mínimo, 6 (seis) meses e (II) alguns órgãos de fiscalização de defesa do consumidor tem solicitado provas da implementação de medidas de proteção de dados pessoais as empresas, sob pena de sanções.
Veja nossa coluna de EntrevistasEntrevista com Felipe Santa Cruz, presidente do Conselho Federal da Ordem dos Advogados do Brasil