Quais são os critérios para contratação de um profissional de DPO?
As empresas são responsáveis ??pelo cumprimento da Lei Geral de Proteção de Dados do Brasil e, portanto, devem adotar medidas efetivas capazes de comprovar o cumprimento da norma. Uma das determinações previstas na LGPD é que o controlador designe o responsável pela proteção de dados, que atuará como elo de comunicação entre o controlador, os titulares dos dados (pessoas físicas) e a Autoridade Nacional de Proteção de Dados.
No Brasil este profissional é intitulado de encarregado de dados, sendo conhecido por DPO (Data Protection Officer) de maneira global.
O DPO será o responsável pela disseminação dos protocolos de privacidade na organização, reportando-se à alta administração e desenvolvendo canais de comunicação para diálogo com cargos executivos, operacionais e administrativos, permeando toda a organização para promover uma verdadeira cultura de proteção de dados.
É importante destacar que o DPO deve ter a necessária independência funcional e liberdade para, por exemplo, aceitar reclamações e comunicações de titulares de dados, prestar esclarecimentos e adotar medidas sem influência externa com o único objetivo de apoiar a tomada de decisão do conselho dos administradores em matéria de proteção de dados pessoais. Assim, é altamente recomendável que o DPO esteja livre de conflitos de interesse em seu desempenho funcional e responda diretamente à alta administração.
Nestes termos, antes da nomeação do DPO, é da maior importância que as empresas identifiquem posições incompatíveis, confirmem a inexistência de conflitos de interesse relativamente às funções que irão desempenhar, garantam a autonomia funcional do DPO e atribuam um orçamento para a execução de suas atividades diárias.
Relativamente às qualificações recomendadas, o DPO deve assumir uma abordagem multidisciplinar, onde as competências de relacionamento interpessoal devem ser aliadas à capacidade de gestão dos programas de privacidade, para além da compreensão dos processos internos de negócio que envolvem o tratamento de dados pessoais. Também será necessário que o DPO avalie os riscos à privacidade e à proteção de dados pessoais com base nas disposições da LGPD e regulamentações futuras, além dos canais de comunicação internos e externos.
O DPO deve possuir conhecimento significativo, competência teórica e prática em matéria de proteção de dados pessoais e segurança da informação, bem como amplo conhecimento de normas específicas envolvendo proteção de dados aplicáveis ??ao setor de atividade econômica relevante, para exercer as funções previstas na LGPD e pela ANPD.
Considerando que se trata de uma função que, pela sua natureza, traz consigo as funções inerentes a um porta-voz da empresa, a gestão das atividades de tratamento de dados pessoais e a possibilidade de emitir pareceres à direção em caso de violação ou incidente, recomenda-se que o DPO possua amplo conhecimento dos negócios da organização, habilidades de liderança, capacidade de orientar a tomada de decisões e habilidades fluidas de comunicação escrita e verbal.
Ainda, em relação às ações recomendadas do DPO, entende-se como medida de boa prática internacional que sempre que a opinião de um DPO não for seguida pela alta administração, o motivo deve ser divulgado — o que pode variar muito, como o risco da organização apetite, a impossibilidade de desembolso de caixa, entre outros.
Além disso, as relações interpessoais devem ser cuidadosamente avaliadas, pois o DPO dependerá da criação da empatia de toda a equipe para manter o engajamento e perpetuar uma cultura de privacidade em todos os níveis da organização, coordenando o trabalho da área de Privacidade e Proteção de Dados Pessoais Comitê, que auxiliará com contribuições multidisciplinares e contínuas.
Ao DPO cabe a tarefa de zelar pelo cumprimento das políticas internas, especialmente no que diz respeito à segurança da informação e proteção de dados, tendo em vista que o profissional designado pode ser um prestador de serviço externo ou um funcionário da organização, desde que possua todas ou a maioria das competências mencionadas e que se possa estabelecer uma equipe interna que responda diretamente ao DPO, auxiliando-o em suas demandas diárias.
É importante ressaltar que a responsabilidade do DPO será limitada ao devido exercício diligente de suas funções na organização, cabendo à organização qualquer responsabilidade civil ou administrativa por qualquer incidente ou dano causado ao titular dos dados.
Em essência, não existe “bala de prata”, porém a MSI atribui uma avaliação prévia e cuidadosa de cada caso específico que deve ser realizada para definir a descrição de trabalho adequado. É fundamental verificar a situação da organização, a sua cultura, a natureza e volume dos dados tratados, o ramo de atividade (se regulamentado ou não) e, de forma complementar, a MSI com uma equipe que reúne profissionais certificados experientes para prestar assessoria e orientação ao DPO interno.
Além de auxiliar no contato direto com os titulares dos dados e autoridades competentes, a MSI pode fornecer suporte adicional para garantir o cumprimento de todos os requisitos legais, na revisão de documentos legais, possibilitando a redução de custos por meio de treinamento de pessoal e atividades que podem ser absorvidas por a consultoria externa seja imediata, contínua ou sob demanda.
Referência: CAMPELLO, Tatiana et al (org.). Brazil’s DPO dilemma: How and who to choose? 2020. IAPP – International Association of Privacy Professionals. Disponível em: https://iapp.org/news/a/brazils-dpo-dilemma-how-and-who-to-choose/. Acesso em: 07 jul. 2022.