*Julie Caroline Oliveira
Este artigo tem como objetivo apresentar uma breve explicação sobre a Lei Geral de Proteção de Dados, mais conhecida como LGPD, e citar algumas das medidas que as empresas devem adotar para ficarem em conformidade com ela, focando na importância da escolha de uma pessoa responsável pela proteção de dados na organização, conhecido como Encarregado de Proteção de Dados ou DPO (Data Protection Officer).
Abstract – This article aims to present a brief on the General Data Protection Law, better known as LGPD, and to mention some of the actions that companies must take to comply with it, focusing on the importance of choosing a person responsible for data protection in the organization, known as Data Protection Officer (DPO).
Introdução
Com a aprovação da Lei Geral de Proteção de Dados (Lei LGPD – nº 13.709/18) em agosto de 2018 e vigência em setembro de 2020, as empresas encontraram-se diante da necessidade de adaptação às novas normas. Como uma breve descrição do que trata a lei, esta possui aplicação a qualquer pessoa, física ou jurídica, que realize o tratamento de dados pessoais de pessoa natural, seja esse tratamento por meios digitais ou não.
Desta forma, pode-se afirmar que a lei abrange grande parte dos projetos e atividades empresariais. Portanto, é fundamental que as empresas tenham seus processos e políticas de acordo com a nova legislação, evitando multas e penalizações que podem comprometer as finanças e, até mesmo, a imagem da organização no mercado. Para evitar esses possíveis problemas, algumas medidas devem ser adotadas, dentre elas, a definição do Encarregado de Proteção de Dados.
Encarregado de Proteção de Dados
A LGPD implementa a aplicação de severas sanções para aqueles que descumprirem o disposto, por esse motivo, é de extrema importância a adequação das empresas. A Autoridade Nacional de Proteção de Dados (ANPD) deverá observar, no caso de aplicação de uma sanção, não somente a categoria do dado afetado, mas também as medidas, mecanismos e procedimentos internos adotados previamente pela empresa, demonstrando a grande necessidade de adequação e implementação de boas práticas de governança, segurança e prevenção. É importante ressaltar que cada segmento empresarial tem suas particularidades que requerem, portanto, análises direcionadas. Porém, a lei implica uma medida praticamente obrigatória: a definição de um Encarregado de Proteção de Dados.
O Encarregado de Proteção de Dados ou DPO, sigla para Data Protection Officer, é a pessoa responsável por auxiliar as empresas que fazem tratamento de dados pessoais em relação ao cumprimento de suas obrigações legais referentes à privacidade. Segundo a LGPD, em seu artigo 41 § 2º, as atividades do DPO consistem em:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Além disso, o DPO será responsável por realizar a ponte entre a empresa, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados.
Sendo assim, observa-se que esse novo cargo é uma demonstração do compromisso da empresa com os direitos dos titulares e com o compliance à nova legislação, portanto, a escolha deve ser criteriosa e considerar o perfil de riscos da empresa.
Definindo um DPO
Após as alterações realizadas pela MP n° 869/188, convertida em Lei 13.853/19, o DPO não precisa mais ser uma pessoa natural, abrindo espaço para a possibilidade de execução das tarefas de DPO por pessoas jurídicas. Assim, atualmente é possível que este seja um empregado da empresa controladora (pessoa natural) ou um terceiro prestador de serviços (pessoa jurídica). Porém, qual seria a melhor opção?
O DPO precisa ter conhecimento técnico e jurídico, ser capaz de acompanhar de perto todo o ciclo de vida de informação e auxiliar todas as equipes da organização em questões de proteção e privacidade de dados. Dessa forma, o ciclo de nomeação interna, aprendizado e prática pode ser difícil e demorado, levando diversas empresas a optarem pela terceirização deste serviço.
DPO as a Service é uma das opções disponibilizadas, trazendo flexibilidade e redução de custos para as empresas. Algumas outras vantagens são a contratação de DPOs independentes, sem conflitos de interesse; acesso a uma equipe de especialistas para deixar a empresa sempre atualizada com as mais novas e melhores práticas quanto à lei; serviço flexível de acordo com as necessidades do seu negócio; dentre outros.
Entretanto, as empresas precisam estar cientes de que a proteção e privacidade aos dados pessoais são questões obrigatórias para a continuidade dos negócios e não algo que deve ser considerado apenas para estar em conformidade com a lei durante o ano que esta entrou em vigor. Nesse caso, visando agregar, efetivamente e à longo prazo, à cultura que deve ser adotada para evolução do negócio, recomenda-se o serviço conhecido como Operação Assistida.
Esse serviço oferece uma assessoria especializada em proteção de dados, possibilitando a empresa escolher um DPO interno que obterá os conhecimentos necessários para suportar as atividades e atribuições desse cargo. É de extrema importância que as medidas para proteção de dados sejam adotadas desde a ideia de projetos, produtos e/ou serviços, visando não só atender a vigência da LGPD, mas atender todas as demandas de proteção e privacidade à longo prazo. Assim, ao contratar a Operação Assistida, a empresa estará, na verdade, investindo em seu próprio futuro, uma vez adquirindo o conhecimento necessário em questão de privacidade e proteção de dados.
Porém, vale ressaltar que o DPO precisa ter plena independência para priorizar as questões relativas à proteção de dados, sem gerar conflito com suas outras funções ou tarefas. E que a importância desse profissional não elimina a necessidade da formação de um Comitê Multidisciplinar de Proteção e Privacidade de Dados que apoie o DPO nas demandas de proteção aos dados de forma ampla, abrangendo todas as áreas da organização.
Conclusões
Conforme apresentado neste artigo, o Encarregado de Proteção de Dados ou DPO é uma nova figura no meio organizacional de extrema importância, pois é ele que auxiliará a empresa nas questões de proteção e privacidade de dados pessoais, visando estar em conformidade com a legislação, evitando grandes perdas financeiras, tanto devido multas aplicadas pela lei quanto devido a imagem organizacional manchada pela falta de tratamento seguro dos dados pessoais de seus colaboradores, clientes, fornecedores e entre outros.
Sendo assim, o ideal é que as empresas criem uma cultura de proteção de dados e respeito à privacidade, de modo que isso se torne uma constante do negócio, a famosa ideia de “privacidade como padrão” aplicada à prática.
*Julie Oliveira é GRC and Information Security Consultant at [SAFEWAY]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil. Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
