Vai contratar DPO? Antes, leia isso!
Publicado em 16.02.2023
Desde que a Lei Geral de Proteção de Dados entrou em vigor em 2020, as empresas se movimentaram para se adequar à LGPD. Porém, com o tempo, um segundo desafio ficou claro: fazer a manutenção dessa adequação.
E esse é o papel principal do DPO ou Data Protection Officer, que pode ser desempenhado:
- por um especialista interno contratado para seu negócio;
- ou por uma empresa especializada nesse serviço – modalidade chamada de DPO terceirizado ou DPO as a Service (DPOaaS).
Não sabe qual opção é ideal para o seu negócio ou tem dúvidas sobre a figura do DPO?
Não se preocupe. Neste artigo, reunimos detalhes sobre essa função e os impactos da contratação de um especialista interno ou DPO terceirizado.
Se preferir, viaje pelos tópicos abaixo:
O que é DPO ou Data Protection Officer?
Quais as atividades realizadas pelo DPO?
DPO terceirizado ou DPO as a Service
O que é DPO ou Data Protection Officer?
No Brasil, o DPO é o profissional que a LGPD denomina de “encarregado de dados”. Sua função principal é ser um canal de comunicação entre:
- a empresa que coleta dados pessoais;
- o titular desses dados;
- e a ANPD (Autoridade Nacional de Proteção de Dados), órgão que regulamenta, implementa e fiscaliza o cumprimento da LGPD no Brasil.
Para isso, ele implementa e acompanha programas de Privacidade, Segurança de Dados e de Compliance. Por isso, é essencial que o DPO esteja alinhado com quem realizou sua Adequação à LGPD.
Isso porque não basta a empresa ter sido adequada à LGPD: é preciso manter essa adequação.
Do contrário, é possível que brechas reapareçam e surjam riscos passíveis de penalização pela fiscalização – mesmo que a empresa tenha passado por adequação anteriormente.
E é nessa manutenção que entra o DPO, que monitora a gestão e o tratamento de dados dentro da empresa através de uma série de atividades.
Quais são as atividades desempenhadas pelo DPO?
A LGPD, em seu art.41, determina como principais funções do DPO:
- aceitar reclamações e comunicações dos titulares de dados e presta esclarecimentos e adota providências nos casos de incidentes com dados;
- receber comunicações da ANPD e deve agir ao ser comunicado;
- orientar funcionários e terceirizados da empresa a tomarem atitudes em prol da proteção de dados pessoais no ambiente empresarial;
- executar funções determinadas pelo controlador de dados ou estabelecidas em normas complementares.
Além disso, o DPO também ajuda na orientação e treinamento do time para que os colaboradores atuem ativamente em prol da proteção de dados e da privacidade dentro da empresa. Assim, o DPO deve apoiar a a alta gestão na construção de uma cultura de proteção de dados.
Na prática, o DPO pode fiscalizar se os processos estão em conformidade com a LGPD, entrar em contato com o titular dos dados se necessário e até comunicar à ANPD qualquer inconsistência nos dados ou incidentes.
Além dessas atividades, a Lei ainda dispõe que a ANPD pode estabelecer normas complementares sobre as atribuições do encarregado de dados. Isso inclui a possibilidade de dispensa da necessidade da indicação desse profissional, devido à natureza e porte da empresa ou volume de operações de tratamento de dados.
Assim, as atividades do DPO podem ser adaptadas ou excluídas conforme a orientação da ANPD.
Mas uma coisa é fato: trata-se de um profissional de alto poder decisório e alta especialização. Então, que tipo de perfil você deve procurar para executar essa função?
Como contratar um DPO?
A LGPD não prevê área de formação específica para o encarregado de dados (DPO), mas estipula suas principais funções, em resumo: monitorar, fiscalizar o cumprimento da LGPD na empresa e ser uma ponte entre a ANPD e o titular de dados.
Por isso, é comum que o próprio jurídico da empresa assuma o papel, mesmo sem ter especialização nem tempo hábil para executá-lo adequadamente.
Também é comum que profissionais de T.I assumam a demanda. Mas não basta apenas entender de tecnologia, T.I e de segurança de dados para ser DPO.
O DPO precisa ser um profissional especializado, com preparo específico, incluindo:
- conhecimento aprofundado sobre a Lei Geral de Proteção de Dados.
- entendimento sobre a legislação de proteção de dados de outros países.
- compreensão sistêmica e estratégica sobre o uso dados pessoais na empresa em que atuará;
- boas habilidades de comunicação e gestão de crise;
- conhecimento de gestão e liderança.
Afinal, muito além de monitorar dados, o DPO se torna responsável por todo o processo de adequação à LGPD dentro de uma organização. Incluindo estar à frente de treinamentos para a conscientização de colaboradores e gestores quanto à proteção e segurança de dados, como já foi dito.
O problema é que, apesar da crescente demanda, ainda há pouca oferta de profissionais qualificados, o que os torna altamente disputados no mercado – combinação que eleva o custo de sua contratação.
Será que esse custo vale a pena?
DPO terceirizado ou DPO as a Service
Quando a figura do DPO surgiu, muitas organizações optaram por treinar seus funcionários, fossem advogados ou técnicos de TI, para atuar nesta função.
Porém, como comentamos, esses profissionais ficavam muito sobrecarregados, dividindo-se entre as funções originais e as atividades de DPO. Obviamente, o resultado é não cumprimento adequado das atividades.
Por isso, o DPO terceirizado ou DPO as a Service (DPOaaS) surgiu como uma opção bastante rentável e mais prática.
As principais vantagens de optar por um DPO as a Service são:
- Agilidade, pois evita-se o demorado processo seletivo em busca de um profissional qualificado – o que consome tempo, verba e energia.
- Custo-benefício, uma vez que a terceirização de uma consultoria elimina encargos trabalhistas e pode ter um custo mais vantajoso que o alto salário de um profissional interno qualificado.
- Segurança, já que a atribuição das funções de em DPO a alguém externo evita os possíveis conflitos de interesse gerados pelas relações de hierarquia dentro da empresa.
Na prática, a empresa contrata uma consultoria especializada mensal e conta com um time de especialistas para substituir o cargo de DPO interno.
Assim, o DPO terceirizado se tornou uma excelente alternativa, sobretudo para pequenas e médias empresas, para manter a adequação em dia sem comprometer a equipe original e para contornar os desafios da contratação de um DPO interno.
Conclusão
Vimos que o papel de encarregado de dados da LGPD se traduz no DPO (Data Protection Officer), um papel pode ser realizado por contratado interno ou empresa terceirizada (DPO as a Service).
Com a missão de manter a empresa adequada à LGPD, o papel de DPO tem um escopo extenso e específico de atividades, precisando ser executado por especialistas para ter eficácia.
Por isso, a contratação desse profissional é um desafio, tornando a terceirização do DPO uma solução para diversas empresas que lidam com dados pessoais.
Aqui na C2R Advocacia, temos profissionais especializados e certificados pela EXIN para realizar essa tarefa no formato de consultoria (DPOaaS). Tanto para os clientes que se adequaram à LGPD conosco quanto para empresas que nos procuraram após a adequação.
Por isso, caso ainda tenha dúvidas ou precise de suporte no assunto, chame um dos nossos consultores via WhatsApp ou formulário e receba ajuda especializada. Estamos à sua disposição!