C2R | O Jurídico das Techs.

Ver Mais conteúdos

Vai contratar DPO? Antes, leia isso!

Publicado em 16.02.2023

Vai contratar DPO? Antes, leia isso!

Desde que a Lei Geral de Proteção de Dados entrou em vigor em 2020, as empresas se movimentaram para se adequar à LGPD. Porém, com o tempo, um segundo desafio ficou claro: fazer a manutenção dessa adequação.

E esse é o papel principal do DPO ou Data Protection Officer, que pode ser desempenhado:

  1. por um especialista interno contratado para seu negócio;
  2. ou por uma empresa especializada nesse serviço – modalidade chamada de DPO terceirizado ou DPO as a Service (DPOaaS).

Não sabe qual opção é ideal para o seu negócio ou tem dúvidas sobre a figura do DPO?

Não se preocupe. Neste artigo, reunimos detalhes sobre essa função e os impactos da contratação de um especialista interno ou DPO terceirizado.

Se preferir, viaje pelos tópicos abaixo:

O que é DPO ou Data Protection Officer?

Quais as atividades realizadas pelo DPO?

Como contratar DPO?

DPO terceirizado ou DPO as a Service

Conclusão

O que é DPO ou Data Protection Officer?

No Brasil, o DPO é o profissional que a LGPD denomina de “encarregado de dados”. Sua função principal é ser um canal de comunicação entre:

  • a empresa que coleta dados pessoais;
  • o titular desses dados;
  • e a ANPD (Autoridade Nacional de Proteção de Dados), órgão que regulamenta, implementa e fiscaliza o cumprimento da LGPD no Brasil.

Para isso, ele implementa e acompanha programas de Privacidade, Segurança de Dados e de Compliance. Por isso, é essencial que o DPO esteja alinhado com quem realizou sua Adequação à LGPD.

Isso porque não basta a empresa ter sido adequada à LGPD: é preciso manter essa adequação.

Do contrário, é possível que brechas reapareçam e surjam riscos passíveis de penalização pela fiscalização – mesmo que a empresa tenha passado por adequação anteriormente.

E é nessa manutenção que entra o DPO, que monitora a gestão e o tratamento de dados dentro da empresa através de uma série de atividades.

Quais são as atividades desempenhadas pelo DPO? 

A LGPD, em seu art.41, determina como principais funções do DPO: 

  • aceitar reclamações e comunicações dos titulares de dados e presta esclarecimentos e adota providências nos casos de incidentes com dados; 
  • receber comunicações da ANPD e deve agir ao ser comunicado;
  • orientar funcionários e terceirizados da empresa a tomarem atitudes em prol da proteção de dados pessoais no ambiente empresarial; 
  • executar funções determinadas pelo controlador de dados ou estabelecidas em normas complementares.

Além disso, o DPO também ajuda na orientação e treinamento do time para que os colaboradores atuem ativamente em prol da proteção de dados e da privacidade dentro da empresa. Assim, o DPO deve apoiar a a alta gestão na construção de uma cultura de proteção de dados.

Na prática, o DPO pode fiscalizar se os processos estão em conformidade com a LGPD, entrar em contato com o titular dos dados se necessário e até comunicar à ANPD qualquer inconsistência nos dados ou incidentes. 

Além dessas atividades, a Lei ainda dispõe que a ANPD pode estabelecer normas complementares sobre as atribuições do encarregado de dados. Isso inclui a possibilidade de dispensa da necessidade da indicação desse profissional, devido à natureza e porte da empresa ou volume de operações de tratamento de dados. 

Assim, as atividades do DPO podem ser adaptadas ou excluídas conforme a orientação da ANPD. 

Mas uma coisa é fato: trata-se de um profissional de alto poder decisório e alta especialização. Então, que tipo de perfil você deve procurar para executar essa função?

Como contratar um DPO? 

A LGPD não prevê área de formação específica para o encarregado de dados (DPO), mas estipula suas principais funções, em resumo: monitorar, fiscalizar o cumprimento da LGPD na empresa e ser uma ponte entre a ANPD e o titular de dados. 

Por isso, é comum que o próprio jurídico da empresa assuma o papel, mesmo sem ter especialização nem tempo hábil para executá-lo adequadamente.

Também é comum que profissionais de T.I assumam a demanda. Mas não basta apenas entender de tecnologia, T.I e de segurança de dados para ser DPO.

O DPO precisa ser um profissional especializado, com preparo específico, incluindo:

  • conhecimento aprofundado sobre a Lei Geral de Proteção de Dados.
  • entendimento sobre a legislação de proteção de dados de outros países.
  • compreensão sistêmica e estratégica sobre o uso dados pessoais na empresa em que atuará;
  • boas habilidades de comunicação e gestão de crise;
  • conhecimento de gestão e liderança.

Afinal, muito além de monitorar dados, o DPO se torna responsável por todo o processo de adequação à LGPD dentro de uma organização. Incluindo estar à frente de treinamentos para a conscientização de colaboradores e gestores quanto à proteção e segurança de dados, como já foi dito.

O problema é que, apesar da crescente demanda, ainda há pouca oferta de profissionais qualificados, o que os torna altamente disputados no mercado – combinação que eleva o custo de sua contratação.

Será que esse custo vale a pena?

DPO terceirizado ou DPO as a Service

Quando a figura do DPO surgiu, muitas organizações optaram por treinar seus funcionários, fossem advogados ou técnicos de TI, para atuar nesta função. 

Porém, como comentamos, esses profissionais ficavam muito sobrecarregados, dividindo-se entre as funções originais e as atividades de DPO. Obviamente, o resultado é não cumprimento adequado das atividades.  

Por isso, o DPO terceirizado ou DPO as a Service (DPOaaS) surgiu como uma opção bastante rentável e mais prática.

As principais vantagens de optar por um DPO as a Service são:

  • Agilidade, pois evita-se o demorado processo seletivo em busca de um profissional qualificado –  o que consome tempo, verba e energia.
  • Custo-benefício, uma vez que a terceirização de uma consultoria elimina encargos trabalhistas e pode ter um custo mais vantajoso que o alto salário de um profissional interno qualificado.
  • Segurança, já que a atribuição das funções de em DPO a alguém externo evita os possíveis conflitos de interesse gerados pelas relações de hierarquia dentro da empresa.

Na prática, a empresa contrata uma consultoria especializada mensal e conta com um time de especialistas para substituir o cargo de DPO interno.

Assim, o DPO terceirizado se tornou uma excelente alternativa, sobretudo para pequenas e médias empresas, para manter a adequação em dia sem comprometer a equipe original e para contornar os desafios da contratação de um DPO interno.

Conclusão

Vimos que o papel de encarregado de dados da LGPD se traduz no DPO (Data Protection Officer), um papel pode ser realizado por contratado interno ou empresa terceirizada (DPO as a Service).

Com a missão de manter a empresa adequada à LGPD, o papel de DPO tem um escopo extenso e específico de atividades, precisando ser executado por especialistas para ter eficácia.

Por isso, a contratação desse profissional é um desafio, tornando a terceirização do DPO uma solução para diversas empresas que lidam com dados pessoais.

Aqui na C2R Advocacia, temos profissionais especializados e certificados pela EXIN para realizar essa tarefa no formato de consultoria (DPOaaS). Tanto para os clientes que se adequaram à LGPD conosco quanto para empresas que nos procuraram após a adequação.

Por isso, caso ainda tenha dúvidas ou precise de suporte no assunto, chame um dos nossos consultores via WhatsApp ou formulário e receba ajuda especializada. Estamos à sua disposição!

Escrito por