Para muitas empresas, a nomeação de um Encarregado de Proteção de Dados (DPO) é requisito obrigatório para atender às exigências da Lei Geral de Proteção de Dados (LGPD). Esse profissional deve ter um alto grau de conhecimento não apenas da nova regulação, mas também da área de atuação da empresa onde trabalha.
Desde a entrada em vigor da lei em 2020 e a necessidade de se adaptar a ela sob risco de incorrer em multas e sanções administrativas, algumas empresas buscaram resolver a questão do DPO atribuindo a função a um funcionário atual ou a um executivo do alto escalão, por exemplo.
No entanto, levando em consideração a independência necessária para um Encarregado de Proteção de Dados exercer o seu papel, as companhias devem ser cuidadosas com potenciais questões de conflitos de interesse com outras funções, incluindo as previamente desempenhadas pelo funcionário.
Uma das principais atribuições do DPO é ser o mediador entre os interesses do controlador dos dados (por parte da empresa), o titular dos dados (funcionários, parceiros comerciais e clientes, por exemplo) e a autarquia nacional, a Agência Nacional de Proteção de Dados (ANPD). Além disso, deve orientar sobre os procedimentos corretos a serem adotados em prol da privacidade e proteção dos dados pessoais, assim como verificar se estão sendo cumpridos.
O DPO deve ter autonomia para trabalhar, devendo se reportar diretamente ao mais alto nível da organização. Além disso, deve ter ao seu dispor os recursos necessários para realizar as suas tarefas, como informações que o auxiliem a tomar decisões embasadas em prol da privacidade e proteção dos dados pessoais.
Internalizar ou não internalizar?
Ao internalizar a função de DPO, por exemplo, há a questão do conflito de interesses, que já citamos acima, assim como do acúmulo de funções, já que o cargo vai ser oferecido a um funcionário atual. Isso leva a outras questões, como o tempo dedicado às atividades de privacidade e proteção de dados e as outras atividades previamente desempenhadas pelo colaborador, assim como a expertise e experiência em matéria de LGPD que ele precisa ter.
Em um de nossos últimos artigos, trouxemos o que diz a Instrução Normativa SGD/ME 117, que dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais em órgãos e entidades da administração pública federal: “deverá [o DPO] possuir conhecimentos multidisciplinares essenciais à sua atribuição, preferencialmente, os relativos aos temas de: privacidade e proteção de dados pessoais, análise jurídica, gestão de riscos, governança de dados e acesso à informação no setor público”.
Portanto, conhecimento e experiência são pré-requisitos importantes para exercer o cargo.
A outra opção seria terceirizar a função, algo que já é recorrente entre as empresas que precisam ter um DPO. Ao contratar uma prestadora de serviços com equipes técnicas e experiência na área, você terá acesso às melhores orientações sobre o que fazer e como fazer para proteger os dados pessoais de funcionários, parceiros e clientes. Além disso, o custo quase sempre é menor (afinal, ao internalizar a função, há os custos da CLT).
Visando atender essa demanda de atuais e potenciais futuros clientes, a Pryor Global criou um setor de terceirização de DPO, com equipes especializadas em proteção de dados pessoais e LGPD. É importante contar com um parceiro de confiança para algo que só tende a crescer em relevância, como é a questão da proteção aos dados pessoais.
Conte conosco nesse desafio!
PT_BR 
EN 
A Pryor Global se preocupa com o uso de seus dados pessoais. Solicitamos apenas os dados necessários para podermos retornar seu contato. Estes dados serão devidamente protegidos. Para mais informações, consulte nossa Política de Privacidade".