Quarta-feira, 24 de julho de 2019

ISSN 1983-392X

O Data Protection Officer – DPO

Jaqueline Simas de Oliveira

O DPO é o profissional responsável por aconselhar e verificar se tais entes estão obedecendo o GDPR ao processarem e tratarem dados pessoais de terceiros.

sexta-feira, 25 de maio de 2018

Ao instituir o GDPR, a União Europeia criou mecanismos para garantir o cumprimento da norma pelos sujeitos a que a ela estão submetidos.

Nesse sentido, os responsáveis pelo tratamento e processamento de dados pessoais, sejam estes entes privados ou públicos, deverão possuir em seus quadros um Data Protection Officer ("DPO").

Em poucas palavras, o DPO é o profissional responsável por aconselhar e verificar se tais entes estão obedecendo o GDPR ao processarem e tratarem dados pessoais de terceiros.

Embora o legislador europeu não tenha fixado requisitos objetivos para que um profissional seja nomeado DPO, o item (5) do art. 37 da norma estabelece que esse profissional deverá ser uma pessoa com expertise na legislação e nas práticas de proteção de dados.

É importante ainda notar que a obrigatoriedade da indicação do DPO não é absoluta, de modo que nem todos os sujeitos que tratam ou processam dados pessoais precisarão possuir tal profissional em seus quadros.

No entanto, em três hipóteses a indicação do DPO será obrigatória, nos termos do item (1) do art. 37 do GDPR:

a) quando o tratamento de dados é realizado por uma autoridade ou organismo público, com exceção de autoridades que exerçam atividade jurisdicional;

b) quando a entidade está envolvida em monitoramento sistemático e em larga escala de dados pessoais de usuários; ou

c) quando a entidade processa ou controla dados pessoais sensíveis, conforme art. 9 do GDPR, ou relativos a condenações ou delitos criminais, conforme art. 10 do GDPR.

Assim, quando os responsáveis pelo tratamento de dados pessoais se enquadrarem em um dos três casos acima, a presença de um DPO será obrigatória e deverá ser informada à autoridade reguladora.

O DPO poderá ser nomeado entre os próprios funcionários da entidade atinente ou, então, poderá ser um profissional externo, cujo vínculo será criado por meio de um contrato de prestação de serviços.

Dentre as atividades que deverão ser desempenhadas pelo DPO destaque-se o aconselhamento sobre as normas vigentes relativas à proteção de dados pessoais, o monitoramento do cumprimento do GDPR pela entidade a que está vinculado e a cooperação com as autoridades públicas supervisoras da norma.1

No âmbito privado, o legislador europeu quis garantir que toda empresa terá um profissional capaz de guia-la na proteção dos dados pessoais de seus clientes e usuários, tendo em vista que a coleta e processamento de dados dessa natureza se dá cada vez em maior escala.

E qual a importância do DPO para as empresas brasileiras?

Em primeiro lugar, embora não haja qualquer previsão legal estabelecendo a necessidade da indicação do DPO na legislação brasileira, o fato é que o GDPR não se aplica unicamente a empresas sediadas em território europeu2, sendo certo que a norma afetará empresas nacionais, de maneira direta ou indireta.

Assim, uma empresa brasileira que desenvolva negócios com empresas europeias terá um atrativo se nomear um DPO. Afinal, tal profissional poderá atestar que se trata de uma instituição atenta à proteção de dados pessoais e à legislação vigente sobre a matéria.

Ademais, tudo indica que a figura do DPO será, muito em breve, incorporada pelo ordenamento jurídico pátrio. O PL 5.276/16, um dos mais completos projetos legislativos que trata da proteção de dados pessoais, cria, em seu artigo 41, o "encarregado", profissional que tem seu perfil e obrigações claramente inspirados no DPO europeu.3

Desse modo, por qualquer dos dois motivos acima, fica claro que o DPO já é uma realidade e que as empresas nacionais que processam dados pessoais precisarão se adaptar à tal normativa em algum momento.

Como o DPO deve possuir notório conhecimento acerca da legislação e da prática relativas à proteção de dados, tal cargo pode ser ocupado por um colaborador interno ou por um agente externo, mediante contratação.

Embora a relevância do papel do DPO ainda não tenha sido testada na prática, parece claro que esse profissional será peça-chave no desenvolvimento de atividades empresariais relacionadas à coleta e processamento de dados pessoais em um futuro muito próximo.

______________

1 Art. 39 do GDPR

2 Art. 3º do GDPR

3 Art. 41. O responsável deverá indicar um encarregado pelo tratamento de dados pessoais. (...) §2º As atividades do encarregado consistem em: I – receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações do órgão competente e adotar providências; III – orientar funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoas; e IV – demais atribuições determinadas pelo responsável ou estabelecidas em normas complementares. (...)

______________

*Jaqueline Simas de Oliveira é advogada do escritório Dannemann Siemsen Advogados.

leia mais

últimos artigos

Hashtag polícia

Sergio Ricardo do Amaral Gurgel

Compliance na Administração Pública

Jéssica Acocella e Rafael Carvalho Rezende Oliveira

Os fins justificam os meios?

Heraldo Garcia Vitta

Caio Cesar Rocha: juízes na mira dos robôs

Alienação parental e a capacidade de odiar

Maria Berenice Dias