O DPO (Data Protection Officer) é uma nova função de liderança criada com a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) nas empresas brasileiras.
A LGPD define responsabilidades mínimas para um DPO que giram em torno da supervisão da implementação de uma estratégia de proteção de dados, garantindo a conformidade com o regulamento e outras leis de proteção de dados aplicáveis em território nacional.
O DPO também supervisiona as políticas de privacidade e proteção de dados para garantir a operacionalização dessas políticas em todas as unidades organizacionais e garante que a organização processe os dados pessoais dos titulares dos dados (funcionários, clientes e outros indivíduos) de forma aceitável.
O DPO deve operar de forma independente, com total apoio da alta administração e da diretoria, e ter acesso a todos os recursos necessários para realizar o trabalho de acordo com as melhores práticas.
Principais responsabilidades do DPO
As principais atividades, tarefas e responsabilidades dos DPOs são:
Informar e aconselhar a empresa (seja controlador ou processador de dados) e os funcionários sobre como cumprir a LGPD e outras leis de proteção de dados aplicáveis.
Gerenciar políticas internas e garantir que a empresa está seguindo os procedimentos descritos nas políticas.
Desenvolver conscientização e treinamento de pessoal para quaisquer funcionários envolvidos nas atividades de processamento.
Fornecer aconselhamento sobre a avaliação do impacto da proteção de dados.
Aconselhar e fazer recomendações à empresa sobre a interpretação ou aplicação das regras de proteção de dados.
Lidar com reclamações ou solicitações de outras instituições, do controlador de dados e dos titulares dos dados.
Relatar qualquer falha no cumprimento da LGPD ou das regras de proteção de dados aplicáveis.
Monitorar a conformidade com a LGPD ou outra lei de proteção de dados.
Identificar e avaliar as atividades de processamento de dados da empresa.
Cooperar com as autoridades supervisoras.
Manter os registros das operações de processamento.
O DPO não é pessoalmente responsável pela conformidade com a LGPD da organização, é sempre um controlador ou processador que deve demonstrar conformidade. O controlador ou o processador é obrigado a fornecer todas as ferramentas, recursos e pessoal necessários para permitir que o DPO execute as tarefas.
Principais qualificações de um DPO
Mais comumente, o DPO é um profissional de Segurança da Informação ou um especialista com formação jurídica, mas essa não é a regra. O DPO também deve ser uma pessoa familiarizada com os negócios e as operações do dia a dia que uma organização conduz, com ênfase nas atividades de processamento de dados.
A LGPD não especifica qualificações exatas para o DPO e não há certificados oficiais. No entanto, existem certas organizações que fornecem treinamento e educação, que são consideradas valiosas na comunidade de proteção de dados.
A LGPD afirma que as qualidades favoráveis de um DPO seriam o conhecimento especializado das leis e práticas de proteção de dados e a capacidade de cumprir suas tarefas.
O DPO não deve assumir toda a responsabilidade pelo processo de conformidade. Portanto, deve haver uma divisão de responsabilidades entre o DPO e outras unidades organizacionais. Caso contrário, o DPO enfrentará o impossível desafio de supervisionar os processos de todas as empresas.
Atuação do DPO na prática
O DPO deve ser parte integrante de sua estrutura organizacional e se reportar diretamente ao mais alto nível de gestão, com acesso às atividades de processamento de dados da empresa para realmente garantir a conformidade, propagar medidas de proteção de dados e executar as funções atribuídas de forma independente.
As empresas são obrigadas a garantir que o DPO seja envolvido de forma adequada e em tempo hábil nas questões relacionadas às atividades de processamento de dados dentro da organização.
Não deve haver conflito de interesses entre as responsabilidades e deveres do DPO e outros deveres dentro da organização. Portanto, é aconselhável que o DPO não exerça nenhuma outra função na organização.
Como empresa, você pode escolher e nomear um DPO entre os funcionários existentes ou pode terceirizar a função com um DPO externo. Se sua organização não exige um DPO em tempo integral, você pode nomear um DPO que pode trabalhar meio tempo como DPO e meio tempo em outra função, desde que essas funções não estejam em conflito entre si.
As diretrizes para evitar conflito de interesses com a função DPO são:
O DPO não deve ser um funcionário com contrato de curto prazo.
O DPO não deve se reportar a um superior direto, ele ou ela deve se reportar diretamente à alta administração ou ao Conselho.
O DPO deve ser capaz de gerenciar seu próprio orçamento.
O DPO não deve ser um controlador das atividades de processamento.
Uma organização deve fornecer funcionários e recursos para que o DPO possa executar as funções designadas.
O DPO deve ter autoridade para investigar os processos dentro da empresa ou organização.
A contratação de um DPO
Os requisitos do DPO podem variar dependendo das necessidades e circunstâncias específicas do mercado, local de trabalho e ambiente. Você deve optar por um profissional que possua um certo nível de conhecimento e especialização em legislação de proteção de dados. Compreender como sua empresa opera pode ajudar enormemente.
No entanto, achamos que esses requisitos são os mais comuns:
Base e experiência em questões jurídicas, conformidade de dados, auditoria ou Segurança da Informação.
Conhecimento da legislação de proteção de dados, especialmente LGPD e leis semelhantes.
Experiência de trabalho relevante de monitoramento da conformidade com os requisitos regulatórios e envolvimento com órgãos reguladores.
Experiência na aplicação operacional da lei de privacidade.
Familiaridade com sistemas de segurança de computador.
Experiência no gerenciamento de violações de dados.
Experiência em cooperação com autoridades de supervisão de qualquer tipo.
Compreender o ambiente em que a empresa opera e os riscos de proteção de dados associados.
Experiência na realização de avaliações de impacto de proteção de dados.
Entendimento dos requisitos da LGPD.
Obtenha conhecimento e seja um DPO pela RS Data Security
Já faz algum tempo que estamos nos especializando cada vez mais em Proteção de Dados para conformidade com a LGPD e GDPR, para tanto entendemos cada vez mais a importância em capacitar os profissionais brasileiros para esse novo mercado.
A RS Security Data Security é agora empresa autorizada como autoridade em treinamentos de capacitação e certificação nas guias de certificação EXIN PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy & Data Protection Foundation).
Embarque conosco nessa transformação no mercado brasileiro e seja um profissional realmente capacitado e requisitado. Entre em contato com um dos nossos consultores agora.