MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. A importância do "DPO" na gestão de dados empresariais

A importância do "DPO" na gestão de dados empresariais

Francisco Erasmo Ferreira da Costa Filho

O Data Protection Officer (DPO) ou encarregado, é o responsável por atender as demandas dos titulares, interagir com a Autoridade Nacional de Proteção de Dados (ANPD) e orientar funcionários e contratados quanto às práticas de proteção de dados pessoais.

terça-feira, 6 de outubro de 2020

Atualizado em 8 de outubro de 2020 13:29

A recente entrada em vigor da lei 13.709/18, com redação dada pela lei 13.853/19, consolidou a necessidade de adequação de empresas e órgãos públicos à proteção de dados pessoais, com a melhoria dos processos internos e externos, gerando marketing positivo para a realização de negócios de forma sustentável.

A origem da LGPD está associada ao cenário mundial de proteção de dados pessoais, que exige regras específicas para a adequada utilização dos dados pessoais de seus titulares. Em razão do rápido crescimento tecnológico, com a quebra de barreiras geográficas possibilitadas pela rede mundial de computadores, não há mais espaço para um tratamento desordenado de dados pessoais.

Vale ressaltar a importância do tema, na medida em que a Constituição Federal de 1988, no seu artigo 5º, incisos X e XII, prevê a proteção à privacidade e ao sigilo das comunicações, além da garantia de habeas data, nos ditames do artigo 5º, LXXII e da lei 9.507/97. Importa evidenciar, ainda, os compromissos internacionais assumidos sobre a proteção de dados pessoais, como a convenção 108 sobre proteção de dados de 1981, da qual o Brasil está como observador desde outubro de 2018, fator também relevante para o ingresso como membro da Organização para a Cooperação e Desenvolvimento Econômico - OCDE1.

A LGPD enfatiza os titulares de dados pessoais, fornecendo-lhes direitos a serem exercidos durante toda a existência do tratamento dos dados pessoais do titular pela instituição detentora da informação, prevendo um conjunto de ferramentas, que, no âmbito público, traduzem-se em mecanismos que aprofundam obrigações de transparência ativa e passiva.

O objetivo da legislação específica, nesse contexto, é conferir segurança jurídica, padronização de normas e boas práticas de governança, promovendo a proteção aos direitos dos titulares dos dados pessoais em âmbito nacional2.

Nessa esteira, cabe esclarecer que é possível se considerar como "tratamento de dados" qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A referida lei prevê os agentes de tratamento de dados pessoais: o controlador e o operador. O controlador é definido pela LGPD como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Por sua vez, o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Há, ainda, o Data Protection Officer (DPO) ou encarregado, que é o responsável por atender as demandas dos titulares, interagir com a Autoridade Nacional de Proteção de Dados (ANPD) e orientar funcionários e contratados quanto às práticas de proteção de dados pessoais.

A figura do DPO ganhou maior notoriedade a partir da publicação do GDPR (Regulamento Geral de Dados da União Europeia). Em suma, o citado profissional é um especialista na legislação que trata da proteção de dados, atuando no monitoramento e na consultoria de empresas, com vistas a garantir que elas estejam em compliance com as regras e as boas práticas do setor, devendo também intermediar os interesses da empresa (controlador) e do titular dos dados.

No Brasil, com a criação da LGPD (Lei Geral de Proteção de Dados) que se inspirou bastante no GDPR, o DPO recebeu o nome de encarregado e ganhou a seguinte definição, registrada no artigo 5º da lei: "pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados)". Esse profissional, portanto, é de fundamental importância no cumprimento da legislação e na segurança da informação, funcionando como elo entre a empresa e os titulares dos dados coletados, também fazendo uma ponte com as autoridades reguladoras, garantindo que as determinações estipuladas pela LGPD sejam cumpridas, evitando problemas de uso inadequado de dados.

O texto da LGPD designa algumas atribuições para o encarregado, cuja identidade e as informações de contato poderão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. O artigo 41, § 2º, lista a rotina de demandas do DPO:

  • Aceitar reclamações e comunicações dos titulares e estar em contato com os titulares de dados, esclarecendo possíveis problemas e tomando as medidas cabíveis para resolvê-los;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Receber atualizações referentes à legislação e repassá-las aos gestores da empresa, guiando ações nas mudanças que forem exigidas;
  • Fornecer as diretrizes para o treinamento dos colaboradores da organização para que se adequem às boas práticas da utilização de dados,
  • Executar atividades atribuídas, verificando sempre se a ação corresponde aos requisitos fixados pelas normas legais.

Por sua vez, o parágrafo 3º do mesmo dispositivo ainda afirma que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições de encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, ou seja, essas tarefas podem ser adaptadas ou excluídas de acordo com orientação da ANPD, e o DPO poderá receber mais funções baseado no objetivo da empresa3.

A partir dessa premissa, deve-se mobilizar uma força de trabalho para identificar, separar e classificar a documentação física e a digital. Procura-se, assim, ordenar um processo de otimização e de gerenciamento de todas essas informações, identificando sua natureza, passando-se a trabalhar somente com o mínimo de informação possível, a fim de reduzir consideravelmente a quantidade de utilização desses dados.

Nesse sentido, depois de efetivada a organização e o mapeamento das informações, torna-se possível entender e solucionar quais dados precisarão ser tratados dentro de cada empresa e a especificidade de seu plano de negócios. Vale apontar que a avaliação periódica de impactos e de riscos ao negócio se torna, ainda, mais viável, visto que a gestão documental, já sistematizada, permite melhor previsibilidade de situações inesperadas.

Em verdade, a Lei Geral de Proteção de Dados - LGPD veio para facilitar os mecanismos atuais de gestão documental, além de preservar a privacidade dos funcionários e de terceiros de um modo geral, permitindo o descarte de informações inúteis, impróprias, bem ainda o foco no cuidado com as sensíveis, filtrando o que melhor pode ser aproveitado nas contratações, nos treinamentos e nos contínuos monitoramentos que fazem parte do cotidiano empresarial.

Convém aduzir, ainda, que outra forma de garantir a segurança no gerenciamento de dados, bem como assegurar a conformidade com as novas regras, é manter armazenadas apenas as informações necessárias para o dia a dia dos negócios ou pelo tempo determinado por lei, o que reduz os custos com armazenamento e infraestrutura, além de aumentar a segurança.

Nesse sentido, cabe asseverar que o encarregado de proteção de dados é um dos atores mais importantes no processo de cumprimento, pelas empresas, das disposições da lei em comento, uma vez que será este o profissional com a incumbência de observar os tratamentos do controlador, realizando análises e sugerindo planos de adequação e sustentação dos itens relacionados aos tratamentos de dados previstos na lei 13.709/18.

Diante do exposto, a escolha acertada de um Encarregado de Dados ou DPO é de fundamental importância para as empresas, visto que este será o profissional, nos ditames do art. 5º, VIII, da LGPD, o qual a representará na interlocução com a Autoridade Nacional de Proteção de Dados - ANPD e com os titulares dos dados pessoais, inclusive com aqueles que reclamarem perante estas instituições, pelo que terá, dentre outros, o encargo de evitar, por exemplo, demandas judiciais provenientes dessas reclamações e a incumbência primordial de garantir a privacidade e o tratamento dos dados dentro das empresas, com vistas a evitar a aplicação ulterior de sanções administrativas pelo Poder Judiciário e, por conseguinte, a concretizar a empreitada de adequação e manutenção da lei.

_________

2 A vigência da LGPD e o desafio de adequação no Brasil e do Brasil

_________

*Francisco Erasmo Ferreira da Costa Filho é advogado do Setor Cível e de Direito Digital, do escritório Aguiar Advogados. Pós-graduado em Direito Tributário.

APOIADORES
Apoiador Migalhas
ver todos
FOMENTADORES
Fomentador Migalhas
ver todos

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca
QUERO SER MIGALHEIRO VIP