Conheça os papéis e responsabilidades do Encarregado – DPO na LGPD e GDPR
Este artigo é um guia prático e completo que irá abordar os seguintes tópicos:
- Contexto da LGPD com foco na atuação do Encarregado – DPO
- Quais são as principais atividades e responsabilidades do Encarregado – DPO frente à LGPD e GDPR
- Como se tornar um Encarregado – DPO
- Dicas úteis para o modus-operandi do Encarregado – DPO
Contexto da LGPD com foco nas atuações do Encarregado – DPO (Data Protection Officer)
A Lei Geral de Proteção de Dados Pessoais (LGPD) tem o principal objetivo de “proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade” (Art. 1 – LGPD).
O que precisamos entender é que se existe uma nova lei (LGPD) que visa proteger e regulamentar o tratamento de dados pessoais realizado por empresas públicas e/ou privadas.
Conceitos básicos da LGPD: O que é um dado pessoal, dado sensível, dado anonimizado e tratamento?
Quem é o Controlador, Operador, Titular dos Dados, Encarregado e a ANPD?
1º CONTROLADOR
“pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”
2º OPERADOR
“pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”
3º TITULAR
“pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”
4º ENCARREGADO (DPO)
“Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”
5º ANPD – Autoridade Nacional de Proteção de Dados
“órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional”
Após a breve explanação dos conceitos básicos envolvidos na LGPD, vamos entender os conceitos do ‘Encarregado pelo Tratamento de Dados Pessoais’.
Visando aprimorar o conteúdo e os conceitos que serão apresentados, iremos abordar os papéis e responsabilidades do Encarregado, tanto do ponto de vista da GDPR (Regulamento Geral sobre a Proteção de Dados) – União Europeia, quanto da LGPD.
DPO (GDPR) vs Encarregado (LGPD)
Obrigatoriedade do DPO – Visão GDPR:
- Art. 37° da GDPR define os critérios. Resumo:
- Empresa Pública: Tratamento realizado por Órgãos Públicos, com exceção dos Tribunais no exercício de sua função jurisdicional
- Empresa Privada: Ter como atividade principal do responsável (controlador) ou subcontratante (operador) o tratamento de dados pessoais de forma sistemática e em grande escala
- Tratar dados sensíveis em larga escala
Obrigatoriedade do Encarregado – Visão LGPD:
- Art. 41° da LGPD
- Todo Controlador deverá nomear um responsável para ser o Encarregado
- Pendente da ANPD deliberar sobre possíveis cenários de dispensa do Encarregado
Posição do DPO na empresa – Visão GDPR:
- Art. 38° da GDPR define os critérios
- Ser envolvido nas questões relacionadas ao tratamento de dados pessoais
- A empresa apoia o Encarregado e fornece todos os recursos necessários para o desempenho de suas funções
- O Encarregado tem autonomia para desempenhar suas funções, sem receber qualquer instrução de outrem, independentemente do cargo ocupado
- O Encarregado não pode ser desligado da empresa ou receber punições por desempenhar as suas funções de DPO
- O Encarregado reporta ao mais alto nível da organização
- Os Titulares podem acionar diretamente o Encarregado para dúvidas e outros assuntos
- O Encarregado tem a obrigação de manter o sigilo e a confidencialidade inerentes às suas funções (atividades)
- O Encarregado pode exercer outras funções dentro da empresa, desde que, não gere conflito de interesses
Posição do Encarregado na empresa – Visão LGPD:
- Contexto não definido na LGPD.
- Pode ser que a ANPD delibere sobre a posição do Encarregado dentro da organização, conforme consta no parágrafo 3° do Art. 4°
Responsabilidades do DPO na empresa – Visão GDPR:
- Art. 39° da GDPR apresenta as funções do DPO
- Informar e aconselhar a empresa, terceiros e colaboradores que tratem dados pessoais, a respeito de suas obrigações para com a GDPR
- Controlar a conformidade com a GDPR e com as políticas internas de privacidade e proteção de dados. Na prática, é garantir que as leis, regulamentos e políticas internas sejam respeitados e cumpridos
- Apoiar, aconselhar, quando solicitado, na elaboração da Avaliação de Impacto Sobre a Proteção de Dados (AIPD)
- Cooperar com a Autoridade de Controle e ser o ponto de contato para explicar/apresentar questões relacionadas ao tratamento de dados pessoais
- O Encarregado deve conhecer os riscos associados às operações de tratamento, tendo em conta a natureza, o cenário e as finalidades do tratamento
- Atender as solicitações dos Titulares
Responsabilidades do Encarregado na empresa – Visão LGPD:
- Art. 41° da LGPD
- Aceitar reclamações e comunicações dos titulares, prestar os esclarecimentos necessários e adotar providências
- Receber comunicação da ANPD e adotar providências
- Informar e aconselhar a empresa, terceiros e colaboradores que tratem dados pessoais, em relação às práticas necessárias para a proteção de dados pessoais
- Executar as demais atribuições determinadas pela empresa
Qualificação do DPO na empresa – Visão GDPR:
- Art. 37° da GDPR apresenta as funções do DPO
- O Encarregado é designado com base nas suas qualificações profissionais, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar suas funções/responsabilidades
- É permitido que o DPO seja uma empresa terceirizada (DPO As a Service)
- O WP29 (Grupo de Trabalho 29) publicou algumas diretrizes que são aceitas pelo mercado, entre elas:
- É fundamental que o DPO saiba como criar, implementar e manter um Programa de Proteção de Dados
- Quanto mais complexo ou de alto risco for o tratamento realizado pelo Controlador, maior será a exigência de conhecimento e especializações para o DPO
- O DPO não precisa ser advogado, mas precisa conhecer as leis e as medidas técnicas e organizacionais de proteção de dados
Qualificação do Encarregado pelo Tratamento de Dados Pessoais – Visão LGPD:
- Na LGPD não ficou definido nenhum critério de qualificação para o Encarregado.
- Obs.: O texto que exigia que o Encarregado possuísse conhecimento ‘jurídico-regulatório’ e de ‘segurança da informação’ foi removido da LGPD.
- Pode ser que a ANPD delibere sobre a qualificação mínima do Encarregado dentro das organizações
- É permitido que o Encarregado seja uma empresa terceirizada (Encarregado como Serviço)
- Indiferentemente da lei exigir qualificações ou não, o mercado irá regulamentar as qualificações necessárias (hard e soft skills) para uma pessoa exercer a função de Encarregado dentro das empresas
Como se tornar um Encarregado – DPO?
Conforme já mencionado neste artigo, o Encarregado – DPO precisa estar apto a desenvolver suas atividades. Neste tópico, serão abordadas questões mais práticas, entre elas:
- Atuação específica como Encarregado – DPO
- Realizar ou apoiar a elaboração do Data Mapping (Mapeamento de Dados Pessoais). Instrumento principal para conhecer quais são os processos e áreas de negócio que tratam dados pessoais, como estes dados são tratados, para qual finalidade, quais os critérios de segurança estabelecidos, entre outros. Em resumo, o Encarregado irá utilizar este material para direcionar os próximos passos práticos na estruturação da LGPD e/ou GDPR.
- Realizar treinamentos, workshops e divulgar as informações relevantes da lei.
- Manter um inventário dos tratamentos realizados (Data Mapping) e garantir os registros (logs e evidências) das atividades realizadas.
- Desenvolver e/ou apoiar a elaboração da Política de Privacidade e procedimentos operacionais da LGPD, entre eles, Relatório de Impacto à Proteção de Dados Pessoais (RIPD), Procedimento de Atendimento à Solicitações dos Titulares, Procedimento para Resposta à Incidentes envolvendo Dados Pessoais.
- Processos de Negócio
- O Encarregado – DPO terá como principal atribuição “O Tratamento de Dados Pessoais”, ou seja, para que uma pessoa execute um conjunto de atividades envolvidas no tratamento, o primeiro passo será conhecer os processos de negócio de uma empresa, saber mapear estes processos com foco no dado pessoal, seus relacionamentos, a origem, destino, entre outros.
- O profissional deverá ter experiência para lidar com os gestores, realizar apresentações, defender argumentações do ponto de vista da função de Encarregado.
- Fazer eventos com as áreas, equipes e colaboradores que lidam com dados pessoais e esclarecer dúvidas.
- Comunicar-se com as demais áreas ligadas diretamente à LGPD (jurídico, compliance, qualidade, controles internos, TIC, Segurança da Informação, Diretoria e outras)
- Desenvolver relatórios apresentando riscos, cenários e fatos que ocorrem na empresa, tanto tecnicamente (não conformidade com a LGPD), quanto relatórios executivos com a linguagem de negócio.
- Jurídico
- Conhecer com propriedade a legislação vigente (LGPD e/ou GDPR).
- Interpretar os artigos da lei e traduzir para o cenário prático da empesa.
- Definir as bases legais para os tratamentos envolvidos com dados pessoais.
- Experiência em lidar com denúncias e elaborar teses de defesa.
- Apresentar argumentações favoráveis à empresa, frente à ANPD.
- Desenvolver e/ou apoiar a elaboração da Política de Privacidade e Processos complementares.
- Segurança da Informação
- Conhecer os principais controles técnicos e seus conceitos (firewall, antivírus, sistema de backup, criptografia, VPN, entre outros).
- Conhecer Segurança do ponto de vista das boas práticas (ISO 27001, ISO 27701, ISO 22301, NIST, COBIT, ITIL).
- Experiência em Segurança da Informação corporativa (Política de Segurança da Informação, Processos de Segurança, Procedimentos de Segurança, Controles de Auditoria).
- Habilidade para elaborar e/ou apoiar o desenvolvimento da Política de Privacidade e processos complementares.
- Sistemas de Informação
- Atualmente, 90% dos processos de negócio ocorrem em meios digitais e, consequentemente, o tratamento de dados pessoais ocorre em sistemas informatizados (ERP, CRM, BI, LMS, entre outros); portanto, torna-se necessário que o Encarregado – DPO conheça estes sistemas, suas integrações, a estrutura do banco de dados, forma de extração destas informações e seus responsáveis.
- A definição da Estratégia e como será desenvolvida a Gestão de Dados Pessoais também é um assunto relacionado a Sistemas de Informação.
Observações:
- Dificilmente, uma única pessoa terá as qualificações necessárias para atuar de forma isolada e exclusiva com a LGPD, e assumir todas as atividades do Encarregado, conforme apresentado anteriormente. Desta forma, projetos de LGPD, estruturação dos controles e implementação das suas exigências são atividades multidisciplinares em que uma área complementa a outra e a consultoria traz uma visão de mercado e experiência.
- Desta forma, é importante que o Encarregado – DPO tenha a visão de negócio para lidar com a pluralidade de ideias, visões e gerar o engajamento necessário.
- O nível de conhecimento necessário (júnior, pleno ou sênior) que o Encarregado precisará ter em cada esfera abordada anteriormente, irá depender da necessidade de cada empresa, sua complexidade, desafios, volume, tipo de tratamento, porte, riscos associados, entre outros.
Quais Cursos e Certificações existem para ser o Encarregado - DPO?
- Atualmente, existem diversos cursos para formação de Encarregado/DPO, seja na modalidade online ou presencial.
- A maioria dos cursos aborda o conteúdo preparatório para a certificação DPO do EXIN. Ou seja, os temas envolvidos com a LGPD e a GDPR não serão abordados com profundidade nestes cursos. O principal objetivo é preparar o aluno para as provas de certificação.
- Resumindo: os instrutores irão apresentar as leis, seus artigos, informações, porém não espere se tornar um expert em LGPD estudando 12h ou 24h. A LGPD irá exigir do profissional conhecimento, experiência e habilidades além de cursos preparatórios. A LGPD é um longo caminho, que a cada dia, aprendemos algo novo.
- A trilha de certificação de DPO formatada pelo EXIN é de grande valia para os profissionais e sua conquista é importante, uma vez que a EXIN é uma entidade de respeito e reconhecida em mais de 30 países. O mercado (empresas) também reconhece este título para a vaga de Encarregado. Como dica, pesquise pelas vagas disponíveis e verifique os requisitos necessários e busque adequar seu currículo e conhecimento para atender às exigências.
- Outra forma de buscar conhecimento sobre o assunto é realizar pós-graduação ou MBA na área. Já existem algumas voltadas ao Direito Digital com foco na LGPD.
- Livros também são uma excelente fonte de conhecimento e possibilitam conhecer outras visões, contribuindo para a sua carreira profissional.
- Como complemento, pesquise vídeos, artigos disponíveis na Internet, como este ‘Guia Prático’ e, sempre que possível, participe de eventos. Todo conhecimento adquirido é válido para a formação profissional.
Conheça os outros artigos abordando o contexto da LGPD:
Antes da LGPD, os controles básicos de TIC
Principais erros em projetos de adequação à LGPD