• (16) 3602-8513
  • [email protected]
  • Av. Pres. Vargas, 2121, Sala 2302 - Ribeirão Preto/SP
Pesquisar
Close this search box.
PDCA TI - Consultoria e Treinamento logo 3

Guia Prático do Encarregado pelo Tratamento de Dados – DPO – LGPD

DPO - LGPD

Conheça os papéis e responsabilidades do Encarregado – DPO na LGPD e GDPR

Este artigo é um guia prático e completo que irá abordar os seguintes tópicos:

  1. Contexto da LGPD com foco na atuação do Encarregado – DPO
  2. Quais são as principais atividades e responsabilidades do Encarregado – DPO frente à LGPD e GDPR
  3. Como se tornar um Encarregado – DPO
  4. Dicas úteis para o modus-operandi do Encarregado – DPO

Contexto da LGPD com foco nas atuações do Encarregado – DPO (Data Protection Officer)

A Lei Geral de Proteção de Dados Pessoais (LGPD) tem o principal objetivo de “proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade” (Art. 1 – LGPD).

O que precisamos entender é que se existe uma nova lei (LGPD) que visa proteger e regulamentar o tratamento de dados pessoais realizado por empresas públicas e/ou privadas.

Conceitos básicos da LGPD: O que é um dado pessoal, dado sensível, dado anonimizado e tratamento?

Dado Pessoal - Dado Sensível - LGPD
Glossário LGPD - DPO - Encarregado

Quem é o Controlador, Operador, Titular dos Dados, Encarregado e a ANPD?

LGPD - Controlador - Encarregado - DPO
DPO - Encarregado - ANPD - Ttitular - LGPD

1º CONTROLADOR

“pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”

2º OPERADOR

“pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”

3º TITULAR

“pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”

4º ENCARREGADO (DPO)

“Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”

5º ANPD – Autoridade Nacional de Proteção de Dados

“órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional”

Após a breve explanação dos conceitos básicos envolvidos na LGPD, vamos entender os conceitos do ‘Encarregado pelo Tratamento de Dados Pessoais’.

Visando aprimorar o conteúdo e os conceitos que serão apresentados, iremos abordar os papéis e responsabilidades do Encarregado, tanto do ponto de vista da GDPR (Regulamento Geral sobre a Proteção de Dados) – União Europeia, quanto da LGPD.

DPO (GDPR) vs Encarregado (LGPD)

DPO - LGPD - Encarregado - Proteção de Dados
LGPD - DPO - Encarregado - Proteção de Dados Pessoais
Obrigatoriedade do DPO – Visão GDPR:
  • Art. 37° da GDPR define os critérios. Resumo:
    • Empresa Pública: Tratamento realizado por Órgãos Públicos, com exceção dos Tribunais no exercício de sua função jurisdicional
    • Empresa Privada: Ter como atividade principal do responsável (controlador) ou subcontratante (operador) o tratamento de dados pessoais de forma sistemática e em grande escala
    • Tratar dados sensíveis em larga escala
Obrigatoriedade do Encarregado – Visão LGPD:
  • Art. 41° da LGPD
    • Todo Controlador deverá nomear um responsável para ser o Encarregado
    • Pendente da ANPD deliberar sobre possíveis cenários de dispensa do Encarregado
Posição do DPO na empresa – Visão GDPR:
  • Art. 38° da GDPR define os critérios
    • Ser envolvido nas questões relacionadas ao tratamento de dados pessoais
    • A empresa apoia o Encarregado e fornece todos os recursos necessários para o desempenho de suas funções
    • O Encarregado tem autonomia para desempenhar suas funções, sem receber qualquer instrução de outrem, independentemente do cargo ocupado
    • O Encarregado não pode ser desligado da empresa ou receber punições por desempenhar as suas funções de DPO
    • O Encarregado reporta ao mais alto nível da organização
    • Os Titulares podem acionar diretamente o Encarregado para dúvidas e outros assuntos
    • O Encarregado tem a obrigação de manter o sigilo e a confidencialidade inerentes às suas funções (atividades)
    • O Encarregado pode exercer outras funções dentro da empresa, desde que, não gere conflito de interesses
Posição do Encarregado na empresa – Visão LGPD:
  • Contexto não definido na LGPD.
    • Pode ser que a ANPD delibere sobre a posição do Encarregado dentro da organização, conforme consta no parágrafo 3° do Art. 4°
Responsabilidades do DPO na empresa – Visão GDPR:
  • Art. 39° da GDPR apresenta as funções do DPO
    • Informar e aconselhar a empresa, terceiros e colaboradores que tratem dados pessoais, a respeito de suas obrigações para com a GDPR
    • Controlar a conformidade com a GDPR e com as políticas internas de privacidade e proteção de dados. Na prática, é garantir que as leis, regulamentos e políticas internas sejam respeitados e cumpridos
    • Apoiar, aconselhar, quando solicitado, na elaboração da Avaliação de Impacto Sobre a Proteção de Dados (AIPD)
    • Cooperar com a Autoridade de Controle e ser o ponto de contato para explicar/apresentar questões relacionadas ao tratamento de dados pessoais
    • O Encarregado deve conhecer os riscos associados às operações de tratamento, tendo em conta a natureza, o cenário e as finalidades do tratamento
    • Atender as solicitações dos Titulares
Responsabilidades do Encarregado na empresa – Visão LGPD:
  • Art. 41° da LGPD
    • Aceitar reclamações e comunicações dos titulares, prestar os esclarecimentos necessários e adotar providências
    • Receber comunicação da ANPD e adotar providências
    • Informar e aconselhar a empresa, terceiros e colaboradores que tratem dados pessoais, em relação às práticas necessárias para a proteção de dados pessoais
    • Executar as demais atribuições determinadas pela empresa
GDPR - LGPD
Qualificações - DPO

Qualificação do DPO na empresa – Visão GDPR:

  • Art. 37° da GDPR apresenta as funções do DPO
    • O Encarregado é designado com base nas suas qualificações profissionais, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar suas funções/responsabilidades
    • É permitido que o DPO seja uma empresa terceirizada (DPO As a Service)
    • O WP29 (Grupo de Trabalho 29) publicou algumas diretrizes que são aceitas pelo mercado, entre elas:
      • É fundamental que o DPO saiba como criar, implementar e manter um Programa de Proteção de Dados
      • Quanto mais complexo ou de alto risco for o tratamento realizado pelo Controlador, maior será a exigência de conhecimento e especializações para o DPO
      • O DPO não precisa ser advogado, mas precisa conhecer as leis e as medidas técnicas e organizacionais de proteção de dados

Qualificação do Encarregado pelo Tratamento de Dados Pessoais – Visão LGPD:

  • Na LGPD não ficou definido nenhum critério de qualificação para o Encarregado.
    • Obs.: O texto que exigia que o Encarregado possuísse conhecimento ‘jurídico-regulatório’ e de ‘segurança da informação’ foi removido da LGPD.  
    • Pode ser que a ANPD delibere sobre a qualificação mínima do Encarregado dentro das organizações
    • É permitido que o Encarregado seja uma empresa terceirizada (Encarregado como Serviço)
    • Indiferentemente da lei exigir qualificações ou não, o mercado irá regulamentar as qualificações necessárias (hard e soft skills) para uma pessoa exercer a função de Encarregado dentro das empresas

Como se tornar um Encarregado – DPO?

Conforme já mencionado neste artigo, o Encarregado – DPO precisa estar apto a desenvolver suas atividades. Neste tópico, serão abordadas questões mais práticas, entre elas:

  • Atuação específica como Encarregado – DPO
    • Realizar ou apoiar a elaboração do Data Mapping (Mapeamento de Dados Pessoais). Instrumento principal para conhecer quais são os processos e áreas de negócio que tratam dados pessoais, como estes dados são tratados, para qual finalidade, quais os critérios de segurança estabelecidos, entre outros. Em resumo, o Encarregado irá utilizar este material para direcionar os próximos passos práticos na estruturação da LGPD e/ou GDPR.
    • Realizar treinamentos, workshops e divulgar as informações relevantes da lei.
    • Manter um inventário dos tratamentos realizados (Data Mapping) e garantir os registros (logs e evidências) das atividades realizadas.
    • Desenvolver e/ou apoiar a elaboração da Política de Privacidade e procedimentos operacionais da LGPD, entre eles, Relatório de Impacto à Proteção de Dados Pessoais (RIPD), Procedimento de Atendimento à Solicitações dos Titulares, Procedimento para Resposta à Incidentes envolvendo Dados Pessoais. 
  • Processos de Negócio
    • O Encarregado – DPO terá como principal atribuição “O Tratamento de Dados Pessoais”, ou seja, para que uma pessoa execute um conjunto de atividades envolvidas no tratamento, o primeiro passo será conhecer os processos de negócio de uma empresa, saber mapear estes processos com foco no dado pessoal, seus relacionamentos, a origem, destino, entre outros.
    • O profissional deverá ter experiência para lidar com os gestores, realizar apresentações, defender argumentações do ponto de vista da função de Encarregado.
    • Fazer eventos com as áreas, equipes e colaboradores que lidam com dados pessoais e esclarecer dúvidas.
    • Comunicar-se com as demais áreas ligadas diretamente à LGPD (jurídico, compliance, qualidade, controles internos, TIC, Segurança da Informação, Diretoria e outras)
    • Desenvolver relatórios apresentando riscos, cenários e fatos que ocorrem na empresa, tanto tecnicamente (não conformidade com a LGPD), quanto relatórios executivos com a linguagem de negócio.
  • Jurídico
    • Conhecer com propriedade a legislação vigente (LGPD e/ou GDPR).
    • Interpretar os artigos da lei e traduzir para o cenário prático da empesa.
    • Definir as bases legais para os tratamentos envolvidos com dados pessoais.
    • Experiência em lidar com denúncias e elaborar teses de defesa.
    • Apresentar argumentações favoráveis à empresa, frente à ANPD.
    • Desenvolver e/ou apoiar a elaboração da Política de Privacidade e Processos complementares.
  • Segurança da Informação
    • Conhecer os principais controles técnicos e seus conceitos (firewall, antivírus, sistema de backup, criptografia, VPN, entre outros).
    • Conhecer Segurança do ponto de vista das boas práticas (ISO 27001, ISO 27701, ISO 22301, NIST, COBIT, ITIL).
    • Experiência em Segurança da Informação corporativa (Política de Segurança da Informação, Processos de Segurança, Procedimentos de Segurança, Controles de Auditoria).
    • Habilidade para elaborar e/ou apoiar o desenvolvimento da Política de Privacidade e processos complementares.
  • Sistemas de Informação
    • Atualmente, 90% dos processos de negócio ocorrem em meios digitais e, consequentemente, o tratamento de dados pessoais ocorre em sistemas informatizados (ERP, CRM, BI, LMS, entre outros); portanto, torna-se necessário que o Encarregado – DPO conheça estes sistemas, suas integrações, a estrutura do banco de dados, forma de extração destas informações e seus responsáveis.
    • A definição da Estratégia e como será desenvolvida a Gestão de Dados Pessoais também é um assunto relacionado a Sistemas de Informação.

Observações:

  1. Dificilmente, uma única pessoa terá as qualificações necessárias para atuar de forma isolada e exclusiva com a LGPD, e assumir todas as atividades do Encarregado, conforme apresentado anteriormente. Desta forma, projetos de LGPD, estruturação dos controles e implementação das suas exigências são atividades multidisciplinares em que uma área complementa a outra e a consultoria traz uma visão de mercado e experiência.
  2. Desta forma, é importante que o Encarregado – DPO tenha a visão de negócio para lidar com a pluralidade de ideias, visões e gerar o engajamento necessário.
  3. O nível de conhecimento necessário (júnior, pleno ou sênior) que o Encarregado precisará ter em cada esfera abordada anteriormente, irá depender da necessidade de cada empresa, sua complexidade, desafios, volume, tipo de tratamento, porte, riscos associados, entre outros.

Quais Cursos e Certificações existem para ser o Encarregado - DPO?

  1. Atualmente, existem diversos cursos para formação de Encarregado/DPO, seja na modalidade online ou presencial.
  2. A maioria dos cursos aborda o conteúdo preparatório para a certificação DPO do EXIN. Ou seja, os temas envolvidos com a LGPD e a GDPR não serão abordados com profundidade nestes cursos. O principal objetivo é preparar o aluno para as provas de certificação.
    1. Resumindo: os instrutores irão apresentar as leis, seus artigos, informações, porém não espere se tornar um expert em LGPD estudando 12h ou 24h. A LGPD irá exigir do profissional conhecimento, experiência e habilidades além de cursos preparatórios. A LGPD é um longo caminho, que a cada dia, aprendemos algo novo.
  3. A trilha de certificação de DPO formatada pelo EXIN é de grande valia para os profissionais e sua conquista é importante, uma vez que a EXIN é uma entidade de respeito e reconhecida em mais de 30 países. O mercado (empresas) também reconhece este título para a vaga de Encarregado. Como dica, pesquise pelas vagas disponíveis e verifique os requisitos necessários e busque adequar seu currículo e conhecimento para atender às exigências.
  4. Outra forma de buscar conhecimento sobre o assunto é realizar pós-graduação ou MBA na área. Já existem algumas voltadas ao Direito Digital com foco na LGPD.
  5. Livros também são uma excelente fonte de conhecimento e possibilitam conhecer outras visões, contribuindo para a sua carreira profissional.
  6. Como complemento, pesquise vídeos, artigos disponíveis na Internet, como este ‘Guia Prático’ e, sempre que possível, participe de eventos. Todo conhecimento adquirido é válido para a formação profissional.

Conheça os outros artigos abordando o contexto da LGPD:

Antes da LGPD, os controles básicos de TIC

Principais erros em projetos de adequação à LGPD

O encarregado e suas exigências perante à LGPD

LGPD x Engenharia Social

A PDCA TI possui experiência em projetos de conformidade com a LGPD. Podemos ajudar sua empresa nesta jornada de conformidade. Acesse a nossa página da LGPD.
Projeto LGPD
Facebook
Twitter
LinkedIn
Pinterest
WhatsApp

© 2020 TODOS DIREITOS RESERVADOS - PDCA TI - CONSULTORIA E TREINAMENTOS

crédito das imagens do site: unsplash.com/ E pixabay.com/