Com a sanção do Planalto à redação final da Lei Geral de Proteção de Dados (13.815/19 ) e MP869/18, que resultou no PVL 7/19 , foi vetada a necessidade de o Data Protection Officer (DPO) ter conhecimentos jurídicos para exercer o cargo
O impacto dessa medida e de outras sobre o perfil e função do “Encarregado” é analisada nesta entrevista pelo advogado Paulo Vinícius de Carvalho Soares, especialista em Direito Digital, Sócio e DPO da Lee, Brock, Camargo Advogados (LBCA).
Crypto ID: Qual a função do Data Protection Officer (DPO) ou Encarregado dentro de uma empresa? A sanção presidencial à LGPD alterou muito o perfil desse profissional?
Paulo Vinícius: A sanção presidencial vetou a necessidade de o Data Protection Officer ter formação jurídica. A designação do DPO deve ser realizada em função das competências profissionais, em especial dos conhecimentos avançados de proteção de dados e que seja capaz de cumprir as tarefas relacionadas com a segurança e proteção de dados. Por exemplo, o DPO deve ter as seguintes funções:
– Sensibilização e informação de todos que tratem dados pessoais;
– Assegurar o comprimento das políticas de privacidade e proteção de dados;
– Controlar e regular a conformidade do LGPD;
– Recolher informação para identificar atividades de tratamento;
– Controlar e acompanhar a produção do RIPD – Relatório de Impacto sobre Proteção de Dados;
– Promover as abordagens de Privacidade por Desenho e por Padrão;
– Realizar a avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento;
– Recolher informação para identificar atividades de tratamento;
– Manter atualizado os registros das atividades de tratamento de dados;
– Controlar o cumprimento das cláusulas de proteção de dados junto aos fornecedores;
– Promover formações de boas práticas para a proteção de dados;
– Ser o ponto de contato com os titulares de dados de forma a esclarecer questões relacionadas com o tratamento dos dados;
– Ser o ponto de contato com as autoridades de controle;
Crypto ID: O que nos ensinou a experiência europeia por meio do Regulamento Geral sobre a Proteção de Dados (GDPR), em vigência há um ano?
Paulo Vinícius: Na Europa, o DPO (pessoa física ou jurídica) tem sido nomeado para as funções previstas no artigo 37 da GPDR e seu trabalho nas empresas não tem sido feito sozinho.
O que se tem visto é a criação de comissões de implementação e auditoria de proteção de dados, as quais possuem formação multidisciplinar para auxiliar o DPO não só na verificação da conformidade da empresa com relação a GPDR, mas também no desenvolvimento de produtos, relação com fornecedores (vendors) e seus stakeholders.
Crypto ID: Por onde começa o Trabalho do DPO? Por orientar a empresa sobre a proteção de dados, criando protocolos internos e treinamento colaboradores?
Paulo Vinícius: O trabalho do DPO começa com a conscientização de todos os colaboradores sobre a importância da segurança da informação, da privacidade e por consequência da proteção de dados pessoais por meio de treinamentos, criação de políticas de privacidade interna e externas.
Crypto ID: O DPO precisa conhecer ao mesmo tempo a legislação (jurídico) e as medidas de segurança (TI) para executar bem seu trabalho?
Paulo Vinícius: O DPO deve ter conhecimento multidisciplinar, conciliando temas das áreas de tecnologia, gestão da informação e jurídica, podendo ser auxiliado por uma comissão de especialistas com profundo conhecimento nestas áreas para auxiliar na implementação dos mapeamentos, elaboração de DPIA e criação das políticas.
Crypto ID: Cabe ao DPO prestar informações à ANPD. Qual sua expectativa sobre o trabalho dessa nova agência?
Paulo Vinícius: Uma das funções do DPO é prestar informações às autoridades públicas, dentre elas a Autoridade Nacional de Proteção de Dados, mas não se limitando a esta, como, por exemplo, o Ministério Público, PROCONs, SENACON, entre outros.
A Autoridade Nacional de Proteção de Dados terá uma grande tarefa de regulamentar diversos pontos da LGPD que não foram tratados amiúde pela Lei, diferentemente do que foi feito com a GPDR Europeia.
Além das questões normativas, espera-se que a ANPD também funcione como órgão consultivo para que os envolvidos com a LGPD façam consultas sobre as melhores práticas.
Outro ponto a se destacar é a previsão de uma Ouvidoria, a qual poderá ter a função de ser um ponto focal sobre descumprimentos de normas de proteção de dados como se dá com a ANATEL, ANEEL, etc.
Crypto ID: O DPO deve ter autonomia para realizar seu trabalho? No que sua atividade conflita com o controlador e o operador?
Paulo Vinícius: O DPO deve ter autonomia geral e irrestrita para realizar seu trabalho de maneira que possa ter acesso aos fluxos de dados e aos comandos dos controladores para avaliar se está em compliance com as normas de proteção de dados.
O DPO assume, assim, a responsabilidade na aplicação da estratégia para proteção dos dados e conformidade da LGPD. No entanto, todo o descuido em eventuais não conformidades e incidentes ou violações serão imputadas ao controlador ou ao operador.
Crypto ID: O DPO enfrenta um conflito – ao mesmo tempo que protege os dados armazenados, tem de conviver com o desenvolvimento da empresa (IA), que pode apresentar muitas “áreas cinzentas”. Como resolver esse impasse?
Paulo Vinícius: É recomendável que o DPO seja incluído nas discussões sobre desenvolvimento de produtos e serviços das empresas de modo a garantir que as inovações seguirão o princípio do privacy by design, referendando que os dados pessoais que, porventura, venham a ser tratados tenham uma base legal sólida para tanto sem que se coloque em risco a empresa por um ato de desconformidade com a LGPD.
Crypto ID: É importante que o DPO tenha amplo trânsito com o C-Level da empresa?
Paulo Vinícius: É fundamental que o DPO tenha amplo trânsito com o C-Level da empresa bem como que o C-Level reconheça e acate as diretrizes de proteção de dados que sejam indicadas pelo DPO para garantir a conformidade da empresa com as regras da Lei Geral de Proteção de Dados, nos ambientes internos e externos.
Para tanto, se mostra necessário a integração das equipes multidisciplinares que formam a empresa (RH, Marketing, Financeiro, Tecnologia, Departamento Pessoal, TI etc.) para que se garanta a unidade da política geral de tratamento de dados.
Não basta implementar a política de segurança de dados pessoais, a auditoria constante dos setores também se mostra como prática muito recomendável.
Crypto ID: A LGPD entrará em vigor em 2020. Quando as empresas precisam começar a se preocupar com a implementação do DIPO?
Paulo Vinícius: As empresas devem se preparar desde já com a implementação, na medida em que: (I) o processo de implementação e treinamento dos membros das empresas leva, no mínimo, 6 (seis) meses e (II) alguns órgãos de fiscalização de defesa do consumidor tem solicitado provas da implementação de medidas de proteção de dados pessoais as empresas, sob pena de sanções.
[button link=”https://cryptoid.com.br/category/entrevistas/” icon=”fa-tag” side=”left” target=”” color=”6eb2b7″ textcolor=”ffffff”]Veja nossa coluna de Entrevistas[/button]
Entrevista com Felipe Santa Cruz, presidente do Conselho Federal da Ordem dos Advogados do Brasil