ENCARREGADO ("DPO") ou ENCARREGADO (DPO) "AS A SERVICE"
As leis de proteção de dados pessoais são claras, salvo exceções, da necessidade das empresas se utilizarem de serviços de Encarregados de dados, ou, como são chamados no exterior, DPOs, sigla que significa Data Protection Officers.
A LGPD por exemplo esclarece no que o Encarregado é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)".
A mesma Lei esclarece no seu Art. 41 que "o controlador deverá indicar encarregado pelo tratamento de dados pessoais", sendo que:
"§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados".
Ficam claras as enormes responsabilidades deste profissional para as organizações que se utilizam dos seus serviços, os quais, inclusive, podem ser prestados por empresas terceiras (As A Service).
Quando tais serviços são prestados, seja mediante a contratação de um profissional especialista ou seja pela contratação de uma empresa externa prestadora de serviços, deve-se ter atenção para quais são as atividades a serem desempenhadas pela função do Encarregado, uma vez que a Lei deixa tais atribuições um pouco vagas. Assim, descrevemos abaixo quais seriam as atribuições mínimas a serem desempenhadas pela função do Encarregado:
Avaliação de Conformidade
a.) Realizar auditorias periódicas para verificar a conformidade com as leis de proteção de dados.
b.) Identificar lacunas no cumprimento da regulamentação e propor correções.
2. Conscientização e Treinamento
a.) Oferecer treinamentos regulares para funcionários sobre práticas de proteção de dados.
b.) Desenvolver e atualizar políticas e procedimentos internos.
3. Gestão de Solicitações de Titulares
a.) Gerenciar e responder solicitações de acesso, correção, exclusão e portabilidade de dados.
b.)Garantir que os direitos dos titulares dos dados sejam respeitados.
4. Gestão de Violações de Dados
a.) Estabelecer e manter um protocolo para lidar com violações de dados.
b.) Comunicar violações às autoridades competentes e aos titulares afetados quando necessário.
5. Relacionamento com Autoridades
a.) Servir como ponto de contato entre a empresa e as autoridades de proteção de dados.
b.) Representar a empresa em interações, consultas ou investigações realizadas por autoridades reguladoras.
6. Avaliação de Impacto à Proteção de Dados (AIPD)
a.) Conduzir e revisar avaliações de impacto para projetos que envolvam tratamento de dados pessoais de alto risco.
b.) Assegurar que medidas de mitigação sejam implementadas.
7. Revisão de Contratos e Parcerias
a.) Avaliar contratos com terceiros (fornecedores, parceiros) para garantir cláusulas de proteção de dados.
b.) Monitorar o cumprimento das obrigações de proteção de dados por parte dos agentes de tratamento de dados pessoais.
8. Conselho e Consultoria
a.) Fornecer orientação sobre a interpretação e aplicação das leis e regulamentações de proteção de dados.
b.) Aconselhar sobre melhores práticas e tendências em privacidade e proteção de dados.
9. Manutenção de Registros
a.) Garantir a manutenção de um registro de atividades de tratamento de dados da empresa.
b.) Documentar decisões, consultas e ações relacionadas à proteção de dados.
10. Monitoramento de Mudanças Regulatórias
a.) Manter-se atualizado sobre alterações nas leis e regulamentações de proteção de dados.
b.) Informar e adaptar a empresa a novas exigências ou mudanças regulatórias.
11. Integração de Tecnologias
a.) Aconselhar sobre a adoção de tecnologias e soluções que ajudem na conformidade de proteção de dados.
b.) Avaliar riscos associados a novas tecnologias adotadas pela empresa.
12. Promoção de Cultura de Privacidade
a.) Incentivar uma cultura organizacional que valorize a privacidade e proteção de dados.
b.) Promover boas práticas entre todos os níveis hierárquicos da empresa.
Ao contratar-nos para a função de DPO As A Service, as empresas obtêm expertise especializado e contínuo sem a necessidade de empregar um profissional em tempo integral.
Esse modelo garante uma abordagem proativa à conformidade, reduzindo riscos e promovendo uma cultura de proteção de dados adequada e em contínua evolução.
