Em primeiro lugar, você precisa entender se a LGPD (Lei Geral de Proteção de Dados Pessoais) se aplica à sua empresa. Recomendamos que você leia nosso outro texto “O que a LGPD significa para as pequenas empresas?”
Sua empresa precisa estar em conformidade com a LGPD quando se enquadra em uma das duas seguintes categorias:
1. Você é uma empresa com sede no Brasil que processa informações pessoais de cidadãos e residentes no Brasil.
2. Sua empresa não está sediada no Brasil, mas oferece produtos ou serviços para residentes do Brasil ou monitora o comportamento dos residentes do Brasil.
Assim, se você determinou que deve cumprir com a LGPD, é obrigado a nomear um Data Protection Officer (DPO) apenas sob certos critérios que explicaremos a seguir.
Como saber se você deve nomear um DPO?
Depois de determinar que sua empresa está realmente processando informações pessoais de cidadãos ou residentes do país, você terá que nomear um DPO (Data Protection Officer) se responder SIM a qualquer uma destas 3 perguntas:
Você é uma instituição pública, órgão público ou autoridade pública?
Suas principais atividades envolvem monitoramento regular, sistemático e extensivo de indivíduos em grande escala? Se sua empresa está processando dados pessoais para atingir o core business da empresa, é uma atividade central. No entanto, processar os dados de seus funcionários para pagar salários não é uma atividade principal, é uma atividade secundária.
As suas atividades principais consistem no processamento de dados em grande escala de categorias especiais de dados pessoais ou dados relativos a condenações criminais e infrações? Categorias especiais de dados pessoais podem ser registros criminais, registros médicos, crenças religiosas ou filosóficas, filiação a sindicatos, posições políticas e assim por diante.
Além disso, o tamanho da sua empresa não é o fator determinante se você precisa nomear um responsável pela proteção de dados ou não. O essencial serão as atividades de processamento centrais e fundamentais para atingir os objetivos da empresa.
Terceirizando um Oficial de Proteção de Dados (DPO)
Os Oficiais de Proteção de Dados (DPO) são procurados em todos os setores e, portanto, pode ser muito difícil preencher essa posição contratando DPO interno. No entanto, as empresas que de repente são obrigadas a nomear um DPO ou não têm recursos suficientes para nomear um DPO interno podem considerar a terceirização como uma opção.
É necessário muito treinamento e educação para fazer com que o DPO interno tenha um conhecimento geral da LGPD e GDPR. É por isso que muitas empresas estão considerando a terceirização.
Existem certos benefícios e desvantagens em terceirizar um DPO. Se você decidiu terceirizar seu DPO, certifique-se de que seja possível para o DPO externo formar relacionamentos com as partes interessadas internas. Isso será crucial para dividir as responsabilidades em seu programa de privacidade.
Por outro lado, se você nomear um DPO interno que já tenha conexões e relacionamentos com as partes interessadas necessárias, isso pode afetar o desempenho dos DPOs. Por exemplo, as partes interessadas podem não ver seu DPO como uma figura de autoridade, enquanto o DPO terceirizado pode criar um papel de autoridade e independência mais facilmente.
Desvantagens da Terceirização de DPO
O DPO terceirizado pode não estar familiarizado com a forma como sua empresa ou negócio opera e terá que aprender sobre todas as atividades de processamento e pontos de coleta de dados.
O DPO terceirizado pode nunca ter trabalhado para empresas em seu setor de atuação.
O DPO terceirizado pode não estar tão envolvido e pode ser bastante caro se um custo adicional pelos serviços for cobrado.
Há uma chance de que um DPO terceirizado não esteja envolvido adequadamente em todos os problemas em tempo hábil.
Vantagens da Terceirização de DPO
Pode ser bastante prático terceirizar um DPO em vez de investir muito tempo e recursos em um funcionário interno.
Menor chance de conflito de interesses entre DPO e outras unidades organizacionais.
O DPO terceirizado provavelmente já possui certificados e está submerso no assunto LGPD e GDPR.
Você pode não precisar de um DPO em tempo integral, então a terceirização fará mais sentido do que nomear alguém que já possua responsabilidades em alguma outra função e pode entrar em um conflito de interesses.
Grandes Empresas Vs Pequenas Empresas
Tenho certeza de que você concorda que a necessidade de um DPO de uma pequena empresa com alcance regional é muito diferente da necessidade de uma empresa com alcance global e exposição diferenciada.
O DPO em uma grande empresa provavelmente executará suas funções em tempo integral, precisará de mais recursos como orçamento, equipe, soluções para automatização e conformidade com a LGPD e muito mais.
Como uma empresa ou organização menor, você talvez tenha um DPO em tempo parcial com um orçamento mais apertado, e tudo bem, contanto que eles possam cumprir suas obrigações.
Se necessário, conceda-lhes acesso a um advogado que possa auxiliá-los em quaisquer questões jurídicas e certifique-se de que participem de conferências e seminários para estarem sempre atualizados.
Considerações Finais
Já faz algum tempo que estamos nos especializando cada vez mais em Proteção de Dados para conformidade com a LGPD e GDPR, para tanto entendemos cada vez mais a importância em capacitar os profissionais brasileiros para esse novo mercado.
A RS Security Data Security é agora empresa autorizada como autoridade em treinamentos de capacitação e certificação nas guias de certificação EXIN PDPE (Privacy and Data Protection Essentials) e PDPF (Privacy & Data Protection Foundation).
Embarque conosco nessa transformação no mercado brasileiro e seja um profissional realmente capacitado e requisitado. Entre em contato com um dos nossos consultores agora.