DPO na LGPD: O que faz o Encarregado de Dados?

Se a sua empresa precisa agilizar o processo de adequação à Lei Geral de Proteção de Dados (LGPD), uma das primeiras coisas a fazer é entender a função do DPO, que será o profissional responsável por conduzir esse trabalho. Neste artigo, reunimos as principais informações sobre este cargo. Confira:

• o que é um DPO;
• qual é a responsabilidade dele na LGPD;
• quais empresas precisam de um DPO;
• como contratar um DPO terceirizado.

O que é um DPO?

DPO significa Data Protection Officer ou Oficial de Proteção de Dados em português. Na Lei N.º 13.709 de 14 de agosto de 2018, que rege a LGPD, esse profissional é conhecido como Encarregado pelo Tratamento de Dados.

É comum as pessoas conhecerem esse profissional como DPO, mas na verdade, essa sigla é oriunda do Regulamento Geral sobre a Proteção de Dados (conhecido pela sigla em inglês GDPR) que foi uma das pioneiras na proteção de dados em todo o mundo.

Dessa forma, podemos considerar DPO como um elo de comunicação entre os diferentes atores de cumprimento da LGPD. Segundo o inciso VIII do artigo 5º, esse profissional é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Qual é a responsabilidade do DPO na LGPD?

Um DPO deve ser um profissional de posição neutra em relação aos diferentes atores da lei. Isso porque ele tem uma posição fiscalizadora e não deve favorecer nenhum lado em eventual problema no tratamento de dados da organização.

É importante que ele acumule conhecimentos e habilidades voltadas para a privacidade e proteção de dados, como Tecnologia da Informação, Segurança da Informação, Direito, Fiscalização e Processamento de Dados.

Além disso, a lei abre a possibilidade de terceirização da função para as empresas. Nesse caso, há até uma chance maior de neutralidade na fiscalização das atividades de proteção de dados.

O DPO tem suas atribuições detalhadas na seção II do capítulo VI da LGPD, a partir do artigo 41. Como explicado anteriormente, ele deverá ser indicado pelo controlador e deverá ter identidade e informações de contato divulgadas publicamente, podendo ser em um canal eletrônico de preferência. 

De acordo com o parágrafo 2º deste mesmo artigo, são atividades de um DPO:

• I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• II - receber comunicações da autoridade nacional e adotar providências;
• III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
• IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O parágrafo 3º discorre ainda que a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

• Leia também: Princípios da LGPD: implicações para a governança corporativa

Quais empresas precisam de um DPO?

De modo geral, todas as empresas que coletam, armazenam e tratam dados precisam de um DPO da LGPD. Contudo, recentemente, a Resolução CD/ANPD nº. 2, de 27 de janeiro de 2022 flexibilizou essa necessidade de contratação para:

• microempresas;
• empresas de pequeno porte;
• startups;
• pessoas jurídicas de direito privado;
• pessoas naturais e entes privados despersonalizados.

A legislação deixa claro que estão excluídas da flexibilização as empresas que:

• realizam tratamento de dados de alto risco, por exemplo, em larga escala;
• têm um faturamento anual superior a R$ 4,8 milhões;
• façam parte de algum grupo global que tem faturamento anual superior a R$ 16 milhões.

Vale ressaltar que, mesmo que a sua empresa esteja nessa lista, contar com um Encarregado de Dados é extremamente importante, já que, atualmente, o gerenciamento correto de dados é, muitas vezes, uma exigência contratual.

Além disso, a resolução diz respeito à flexibilização quanto a necessidade de contratar e indicar um DPO. Ou seja, a obrigação de estar em conformidade com a LGPD ainda persiste normalmente para todas as empresas.

Como contratar um DPO terceirizado?

A legislação não cobra nenhuma formação específica para atuar como DPO na LGPD. Basta que seja alguém com profundo entendimento da lei. 

Essa pessoa pode ser um colaborador que já atua na empresa controladora dos dados ou que foi contratado especificamente para essa função.

Contudo, o caminho mais fácil para as organizações que estão começando a adequação à LGPD é terceirizar o Encarregado de Dados.

Por isso, a DPOnet oferece uma solução abrangente para facilitar o processo e garantir a adoção das melhores práticas de tratamento de dados. Nossos parceiros contam com:

• suporte técnico e jurídico especializado;
• gerenciamento completo dos dados pessoais coletados pelo condomínio;
• canal oficial de comunicação com os titulares de dados;
• treinamento e capacitação para funcionários.

Confira todas as funcionalidades de nossa plataforma no vídeo abaixo:

Quer simplificar a jornada de conformidade com a LGPD? Veja como a DPOnet ajuda a cumprir 21 requisitos da LGPD em tempo recorde!