O impacto dessa medida e de outras sobre o perfil e função do “Encarregado” é analisada nesta entrevista pelo advogado Paulo Vinícius de Carvalho Soares, especialista em Direito Digital, Sócio e DPO da Lee, Brock, Camargo Advogados (LBCA).

Crypto ID: Qual a função do Data Protection Officer (DPO) ou Encarregado dentro de uma empresa? A sanção presidencial à LGPD alterou muito o perfil desse profissional?

Paulo Vinícius: A sanção presidencial vetou a necessidade de o Data Protection Officer ter formação jurídica. A designação do DPO deve ser realizada em função das competências profissionais, em especial dos conhecimentos avançados de proteção de dados e que seja capaz de cumprir as tarefas relacionadas com a segurança e proteção de dados. Por exemplo, o DPO deve ter as seguintes funções:

– Sensibilização e informação de todos que tratem dados pessoais;

– Assegurar o comprimento das políticas de privacidade e proteção de dados;

– Controlar e regular a conformidade do LGPD;

– Recolher informação para identificar atividades de tratamento;

– Controlar e acompanhar a produção do RIPD – Relatório de Impacto sobre Proteção de Dados;

– Promover as abordagens de Privacidade por Desenho e por Padrão;

– Realizar a avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento;

– Recolher informação para identificar atividades de tratamento;

– Manter atualizado os registros das atividades de tratamento de dados;

– Controlar o cumprimento das cláusulas de proteção de dados junto aos fornecedores;

– Promover formações de boas práticas para a proteção de dados;

– Ser o ponto de contato com os titulares de dados de forma a esclarecer questões relacionadas com o tratamento dos dados;

– Ser o ponto de contato com as autoridades de controle;

Crypto ID: O que nos ensinou a experiência europeia por meio do Regulamento Geral sobre a Proteção de Dados (GDPR), em vigência há um ano?

Paulo Vinícius: Na Europa, o DPO (pessoa física ou jurídica) tem sido nomeado para as funções previstas no artigo 37 da GPDR e seu trabalho nas empresas não tem sido feito sozinho.

O que se tem visto é a criação de comissões de implementação e auditoria de proteção de dados, as quais possuem formação multidisciplinar para auxiliar o DPO não só na verificação da conformidade da empresa com relação a GPDR, mas também no desenvolvimento de produtos, relação com fornecedores (vendors) e seus stakeholders.

Crypto ID: Por onde começa o Trabalho do DPO? Por orientar a empresa sobre a proteção de dados, criando protocolos internos e treinamento colaboradores?

Paulo Vinícius: O trabalho do DPO começa com a conscientização de todos os colaboradores sobre a importância da segurança da informação, da privacidade e por consequência da proteção de dados pessoais por meio de treinamentos, criação de políticas de privacidade interna e externas.

Crypto ID: O DPO precisa conhecer ao mesmo tempo a legislação (jurídico) e as medidas de segurança (TI) para executar bem seu trabalho?

Paulo Vinícius: O DPO deve ter conhecimento multidisciplinar, conciliando temas das áreas de tecnologia, gestão da informação e jurídica, podendo ser auxiliado por uma comissão de especialistas com profundo conhecimento nestas áreas para auxiliar na implementação dos mapeamentos, elaboração de DPIA e criação das políticas.

Crypto ID: Cabe ao DPO prestar informações à ANPD. Qual sua expectativa sobre o trabalho dessa nova agência?

Paulo Vinícius: Uma das funções do DPO é prestar informações às autoridades públicas, dentre elas a Autoridade Nacional de Proteção de Dados, mas não se limitando a esta, como, por exemplo, o Ministério Público, PROCONs, SENACON, entre outros.

A Autoridade Nacional de Proteção de Dados terá uma grande tarefa de regulamentar diversos pontos da LGPD que não foram tratados amiúde pela Lei, diferentemente do que foi feito com a GPDR Europeia.

Além das questões normativas, espera-se que a ANPD também funcione como órgão consultivo para que os envolvidos com a LGPD façam consultas sobre as melhores práticas.

Outro ponto a se destacar é a previsão de uma Ouvidoria, a qual poderá ter a função de ser um ponto focal sobre descumprimentos de normas de proteção de dados como se dá com a ANATEL, ANEEL, etc.

Crypto ID: O DPO deve ter autonomia para realizar seu trabalho? No que sua atividade conflita com o controlador e o operador?

Paulo Vinícius: O DPO deve ter autonomia geral e irrestrita para realizar seu trabalho de maneira que possa ter acesso aos fluxos de dados e aos comandos dos controladores para avaliar se está em compliance com as normas de proteção de dados.

O DPO assume, assim, a responsabilidade na aplicação da estratégia para proteção dos dados e conformidade da LGPD.  No entanto, todo o descuido em eventuais não conformidades e incidentes ou violações serão imputadas ao controlador ou ao operador.

Crypto ID: O DPO enfrenta um conflito – ao mesmo tempo que protege os dados armazenados, tem de conviver com o desenvolvimento da empresa (IA), que pode apresentar muitas “áreas cinzentas”. Como resolver esse impasse?

Paulo Vinícius: É recomendável que o DPO seja incluído nas discussões sobre desenvolvimento de produtos e serviços das empresas de modo a garantir que as inovações seguirão o princípio do privacy by design, referendando que os dados pessoais que, porventura, venham a ser tratados tenham uma base legal sólida para tanto sem que se coloque em risco a empresa por um ato de desconformidade com a LGPD.

Crypto ID: É importante que o DPO tenha amplo trânsito com o C-Level da empresa?

Paulo Vinícius: É fundamental que o DPO tenha amplo trânsito com o C-Level da empresa bem como que o C-Level reconheça e acate as diretrizes de proteção de dados que sejam indicadas pelo DPO para garantir a conformidade da empresa com as regras da Lei Geral de Proteção de Dados, nos ambientes internos e externos.

Para tanto, se mostra necessário a integração das equipes multidisciplinares que formam a empresa (RH, Marketing, Financeiro, Tecnologia, Departamento Pessoal, TI etc.) para que se garanta a unidade da política geral de tratamento de dados.

Não basta implementar a política de segurança de dados pessoais, a auditoria constante dos setores também se mostra como prática muito recomendável.

Crypto ID: A LGPD entrará em vigor em 2020. Quando as empresas precisam começar a se preocupar com a implementação do DPO?

Paulo Vinícius: As empresas devem se preparar desde já com a implementação, na medida em que: (I) o processo de implementação e treinamento dos membros das empresas leva, no mínimo, 6 (seis) meses e (II) alguns órgãos de fiscalização de defesa do consumidor tem solicitado provas da implementação de medidas de proteção de dados pessoais as empresas, sob pena de sanções.

O post DPO terá novo perfil a partir de sanção presidencial à redação da LGPD apareceu primeiro em LBCA | Lee, Brock, Camargo Advogados.