DPO as a Service: afinal, como funciona na prática e por que minha empresa deveria considerar a contratação?

DPO as a Service: afinal, como funciona na prática e por que minha empresa deveria considerar a contratação?

Com a criação da Lei Geral de Proteção de Dados (LGPD), alguns cargos ganharam notoriedade no Brasil em questões referentes à proteção dos dados de uma organização e de seus clientes. Um deles foi o Encarregado de Proteção de Dados, também conhecido como Data Protection Officer (DPO), por ser a nomenclatura utilizada pelo Regulamento Geral de Proteção de Dados da UE, que muito inspirou a LGPD. 

Acompanhe neste artigo maiores detalhes sobre essa nova função e veja como a participação deste profissional pode auxiliar a sua empresa na conformidade com a LGPD.

DPO: o que você precisa saber

O DPO surge como um dos principais atores dentro da estrutura de governança e proteção de dados de qualquer empresa que lida com dados pessoais.

A obrigação de indicar um encarregado de proteção de dados é mencionada no art. 41 da LGPD. A legislação também menciona a necessidade de tornar essa nomeação pública, preferencialmente no site da empresa. 

De maneira geral, o DPO é um especialista responsável por monitorar e garantir que uma empresa esteja em compliance com as regras e boas práticas do seu setor quando o assunto é proteção de dados e privacidade. 

Essa figura será responsável também por representar e intermediar os interesses das empresas e dos titulares de dados (donos de dados) nesta área. 

Propondo uma analogia, o DPO é como se fosse um “contador”, só que focado em dados e privacidade. Na era da informação, não é à toa que essa função tem recebido cada vez mais importância. 

Quais são as atribuições de um DPO na prática?

De acordo com a LGPD, as atividades do encarregado de proteção de dados consistem em: 

  • aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados das empresas a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  • executar as demais atribuições determinadas pela empresa ou estabelecidas em normas complementares.

Apesar de não constarem como sendo de responsabilidade direta do DPO, existem diversas outras obrigatoriedades às quais as empresas devem seguir a partir da LGPD que, na prática, tende a ser centralizado nessa figura. 

São exemplos: 

  • definir e manter atualizados os procedimentos e políticas de proteção de dados e privacidade, como Política de Gestão e Descarte de Dados, Política de Resposta à Titulares, Aviso de Privacidade e Cookies, etc.;
  • criar e manter atualizado o inventário de dados pessoais (o “livro contábil” dos dados), documento obrigatório que deve mencionar todos os processos da empresa que envolve a coleta ou acesso de dados pessoais; 
  • realizar capacitações e treinamentos para colaboradores, para reforçar a cultura interna de proteção de dados pessoais da empresa;
  • criar relatórios e realizar análises de impacto à proteção de dados pessoais a partir de novos processos ou serviços, quando exigido ou se necessário.

Devido às novas regras promovidas pela LGPD que as empresas precisam se adaptar para garantir a privacidade e segurança dos dados dos seus clientes e usuários, o DPO não apenas é o profissional mais qualificado para orientar e auxiliar uma empresa em todo seu processo de conformidade, mas é também a peça central do processo de adequação à LGPD.

Acontece que profissionais de privacidade e proteção de dados totalmente qualificados são difíceis de encontrar e apresentam salários elevados. Buscar recursos internos para cumprir com essa função (a exemplo da indicação de um profissional interno de outra área) geralmente acaba expondo uma empresa a riscos. 

Isto pois, geralmente tal profissional não possui conhecimento ou a independência para atender aos rigorosos requisitos da LGPD e ajudar na implementação de melhores práticas de proteção de dados e privacidade. 

É possível terceirizar essa função?

A LGPD e outras leis de proteção de dados, como a GDPR, permitem que as empresas terceirizem essa função. Esse modelo de contratação é conhecido como DPO como serviço (“DPO-as-a-Service”, “DPOaaS” ou “DPO Externo”). 

A solução de DPO Externo permite que as empresas nomeiem uma equipe de verdadeiros especialistas em privacidade e proteção de dados como seu DPO, sem sobrecarregar profissionais internos e potencialmente subqualificados. Essa solução tende a ser consideravelmente mais econômica para as empresas também. 

Para saber mais sobre ônus e benefícios de uma solução interna e externa a partir da obrigação legal de indicação de um DPO, consulte o artigo DPO interno x DPO as a service.