Com a iminência da Lei Geral de Proteção de Dados (LGPD), que passa a valer a partir do dia 20 de agosto de 2020, é questão de tempo para que as empresas no Brasil precisem obrigatoriamente ter em seu quadro de colaboradores a figura de um Data Protection Officer (DPO).
As empresas que não contarem com alguém que possa assumir tal responsabilidade perderão a condição de primariedade em uma eventual fiscalização da Agência Nacional de Proteção de Dados, a ANPD. As multas não serão nada triviais e poderão, inclusive, minar a sustentabilidade dos negócios já que comprometerão até 2% do faturamento anual das empresas (com limite de R$ 50 milhões) por infração.
“A designação do Data Protection Officer (DPO) deve ser realizada em função da capacidade de penetração nas áreas das empresas em conjunto com as competências profissionais, em especial dos conhecimentos avançados de proteção de dados. O DPO tem que conhecer a empresa e seus fluxos de dados. Ele deve ser a ponte entre CEO, TI e jurídico”, avalia Paulo Vinicius de Carvalho Soares, advogado e DPO da Lee, Brock, Camargo Advogados (LBCA).
Soares listou algumas tarefas de um DPO após a LGPD, como por exemplo:
– Sensibilização e informação de todos que tratem dados pessoais;
– Assegurar o comprimento das políticas de privacidade e proteção de dados;
– Controlar e regular a conformidade do LGPD;
– Recolher informação para identificar atividades de tratamento;
– Controlar e acompanhar a produção do RIPD – Relatório de Impacto sobre Proteção de Dados;
– Promover as abordagens de Privacidade por Desenho e por Padrão;
– Realizar a avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento;
– Recolher informação para identificar atividades de tratamento;
– Manter atualizado os registros das atividades de tratamento de dados;
– Controlar o cumprimento das cláusulas de proteção de dados junto aos fornecedores;
– Promover formações de boas práticas para a proteção de dados;
– Ser o ponto de contato com os titulares de dados de forma a esclarecer questões relacionadas com o tratamento dos dados;
– Ser o ponto de contato com as autoridades de controle;
Quem será meu DPO?
Outra dúvida que muitas companhias possuem é quem dentro da empresa poderia ser a melhor pessoa para assumir o cargo de DPO? CIOs ou líderes em tecnologia contam com a bagagem necessária para vestir o novo chapéu. O trabalho dessa nova modalidade será grande e, para tanto, será preciso equipe e orçamento.
“É preciso deixar claro que o DPO deve ter autonomia geral e irrestrita para realizar seu trabalho de maneira que possa ter acesso aos fluxos de dados e aos comandos dos controladores para avaliar se está em compliance com as normas de proteção de dados”, pondera, por fim, Soares.
PREPARE-SE PARA A LGPD
Como sua empresa está se preparando para a LGPD? O processo como um todo é complexo e envolve revisão dos processos internos além de diversas áreas da empresa. A revisão dos cadastros e das bases legadas é uma das tarefas iniciais e mais desafiadora, por isso é bom começar o mais rápido possível.
A LGPD Brasil oferece consultorias especializadas e realiza duas palestras por mês na própria sede do escritório para sanar dúvidas a respeito do tema e avaliar os impactos da Lei Geral de Proteção de Dados (LGPD). Quer saber mais sobre o papel de um Data Protection Officer (DPO)? Procure-nos!
