A atuação do DPO de forma prática

O DPO (Data Protection Officer) é uma nova função de liderança criada com a aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) nas empresas brasileiras.


A LGPD define responsabilidades mínimas para um DPO que giram em torno da supervisão da implementação de uma estratégia de proteção de dados, garantindo a conformidade com o regulamento e outras leis de proteção de dados aplicáveis em território nacional.


O DPO também supervisiona as políticas de privacidade e proteção de dados para garantir a operacionalização dessas políticas em todas as unidades organizacionais e garante que a organização processe os dados pessoais dos titulares dos dados (funcionários, clientes e outros indivíduos) de forma aceitável.


O DPO deve operar de forma independente, com total apoio da alta administração e da diretoria, e ter acesso a todos os recursos necessários para realizar o trabalho de acordo com as melhores práticas.



Principais responsabilidades do DPO


As principais atividades, tarefas e responsabilidades dos DPOs são:

  • Informar e aconselhar a empresa (seja controlador ou processador de dados) e os funcionários sobre como cumprir a LGPD e outras leis de proteção de dados aplicáveis.

  • Gerenciar políticas internas e garantir que a empresa está seguindo os procedimentos descritos nas políticas.

  • Desenvolver conscientização e treinamento de pessoal para quaisquer funcionários envolvidos nas atividades de processamento.

  • Fornecer aconselhamento sobre a avaliação do impacto da proteção de dados.

  • Aconselhar e fazer recomendações à empresa sobre a interpretação ou aplicação das regras de proteção de dados.

  • Lidar com reclamações ou solicitações de outras instituições, do controlador de dados e dos titulares dos dados.

  • Relatar qualquer falha no cumprimento da LGPD ou das regras de proteção de dados aplicáveis.

  • Monitorar a conformidade com a LGPD ou outra lei de proteção de dados.

  • Identificar e avaliar as atividades de processamento de dados da empresa.

  • Cooperar com as autoridades supervisoras.

  • Manter os registros das operações de processamento.

O DPO não é pessoalmente responsável pela conformidade com a LGPD da organização, é sempre um controlador ou processador que deve demonstrar conformidade. O controlador ou o processador é obrigado a fornecer todas as ferramentas, recursos e pessoal necessários para permitir que o DPO execute as tarefas.


Principais qualificações de um DPO


Mais comumente, o DPO é um profissional de Segurança da Informação ou um especialista com formação jurídica, mas essa não é a regra. O DPO também deve ser uma pessoa familiarizada com os negócios e as operações do dia a dia que uma organização conduz, com ênfase nas atividades de processamento de dados.


A LGPD não especifica qualificações exatas para o DPO e não há certificados oficiais. No entanto, existem certas organizações que fornecem treinamento e educação, que são consideradas valiosas na comunidade de proteção de dados.


A LGPD afirma que as qualidades favoráveis ​​de um DPO seriam o conhecimento especializado das leis e práticas de proteção de dados e a capacidade de cumprir suas tarefas.


O DPO não deve assumir toda a responsabilidade pelo processo de conformidade. Portanto, deve haver uma divisão de responsabilidades entre o DPO e outras unidades organizacionais. Caso contrário, o DPO enfrentará o impossível desafio de supervisionar os processos de todas as empresas.


Atuação do DPO na prática


O DPO deve ser parte integrante de sua estrutura organizacional e se reportar diretamente ao mais alto nível de gestão, com acesso às atividades de processamento de dados da empresa para realmente garantir a conformidade, propagar medidas de proteção de dados e executar as funções atribuídas de forma independente.


As empresas são obrigadas a garantir que o DPO seja envolvido de forma adequada e em tempo hábil nas questões relacionadas às atividades de processamento de dados dentro da organização.


Não deve haver conflito de interesses entre as responsabilidades e deveres do DPO e outros deveres dentro da organização. Portanto, é aconselhável que o DPO não exerça nenhuma outra função na organização.


Como empresa, você pode escolher e nomear um DPO entre os funcionários existentes ou pode terceirizar a função com um DPO externo. Se sua organização não exige um DPO em tempo integral, você pode nomear um DPO que pode trabalhar meio tempo como DPO e meio tempo em outra função, desde que essas funções não estejam em conflito entre si.


As diretrizes para evitar conflito de interesses com a função DPO são:

  • O DPO não deve ser um funcionário com contrato de curto prazo.

  • O DPO não deve se reportar a um superior direto, ele ou ela deve se reportar diretamente à alta administração ou ao Conselho.

  • O DPO deve ser capaz de gerenciar seu próprio orçamento.

  • O DPO não deve ser um controlador das atividades de processamento.

  • Uma organização deve fornecer funcionários e recursos para que o DPO possa executar as funções designadas.

  • O DPO deve ter autoridade para investigar os processos dentro da empresa ou organização.


A contratação de um DPO


Os requisitos do DPO podem variar dependendo das necessidades e circunstâncias específicas do mercado, local de trabalho e ambiente. Você deve optar por um profissional que possua um certo nível de conhecimento e especialização em legislação de proteção de dados. Compreender como sua empresa opera pode ajudar enormemente.

No entanto, achamos que esses requisitos são os mais comuns:

  • Base e experiência em questões jurídicas, conformidade de dados, auditoria ou Segurança da Informação.

  • Conhecimento da legislação de proteção de dados, especialmente LGPD e leis semelhantes.

  • Experiência de trabalho relevante de monitoramento da conformidade com os requisitos regulatórios e envolvimento com órgãos reguladores.

  • Experiência na aplicação operacional da lei de privacidade.

  • Familiaridade com sistemas de segurança de computador.

  • Experiência no gerenciamento de violações de dados.

  • Experiência em cooperação com autoridades de supervisão de qualquer tipo.

  • Compreender o ambiente em que a empresa opera e os riscos de proteção de dados associados.

  • Experiência na realização de avaliações de impacto de proteção de dados.

  • Entendimento dos requisitos da LGPD.


Obtenha conhecimento e seja um DPO pela RS Data Security


Já faz algum tempo que estamos nos especializando cada vez mais em Proteção de Dados para conformidade com a LGPD e GDPR, para tanto entendemos cada vez mais a importância em capacitar os profissionais brasileiros para esse novo mercado.


A RS Security Data Security é agora empresa autorizada como autoridade em treinamentos de capacitação e certificação nas guias de certificação EXIN PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy & Data Protection Foundation).


Embarque conosco nessa transformação no mercado brasileiro e seja um profissional realmente capacitado e requisitado. Entre em contato com um dos nossos consultores agora.

137 visualizações0 comentário