Por que a empresa deve ter um encarregado de dados (DPO)?

Por que a empresa deve ter um encarregado de dados (DPO)?

Bruno Aghazarm*

03 de outubro de 2021 | 10h00

Bruno Aghazarm. FOTO: DIVULGAÇÃO

Existe atualmente um questionamento com relação à necessidade da nomeação, por parte das empresas, de um “Encarregado de Dados” (DPO),o qual está previsto na LGPD (Lei Geral de Proteção de Dados Pessoais – nº 13.709/2018), especificamente no artigo 5°, inciso VIII, que cria e prevê funções específicas de tal pessoa responsável para a proteção de dados pessoais e sensíveis, que são tratados pelos controladores e operadores.

As empresas apresentam resistência à tal indicação, frente aos gastos com os profissionais específicos para essa função, os quais devem possuir um conhecimento multidisciplinar, abrangendo as áreas do direito, da segurança da informação e da governança corporativa, além da habilidade pessoal nos contatos com o público, órgãos públicos (e própria agência reguladora) e os diversos níveis gerenciais da empresa.

As atividades deste encarregado de dados são complexas e ricas de tarefas, tanto internas às empresas, quanto externas, como por exemplo, aos titulares dos dados, ANPD, a imprensa e articulações diversas.

Além de prever e aceitar o contato, reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências que deverão ser expostas ao público, deverá receber comunicações da autoridade nacional e executar a gestão entre as partes.

A orientação aos colaboradores, terceiros e contratados da empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais também estará sob sua responsabilidade.

O artigo 5º da LGPD também recomenda aos agentes de tratamento a elaboração e implementação de boas práticas de governança corporativa, para que haja condições da organização de todas as áreas da empresa, criando um regime de funcionamento adequado, com procedimentos formalizados, incluindo os referentes ao recebimento de reclamações e petições de titulares, as normas de segurança da informação e padrões técnicos adotados, ações de treinamento e educativas, assim como os procedimentos internos de gerenciamento e de mitigação de riscos a serem garantidos pelo encarregado de dados.

Portanto, o risco também deve ser gerenciado pelo controlador para proteger o tratamento de dados do titular, e, para tal situação, é importante entender os riscos para o negócio e para o titular de dados, sabendo-o distinguir e traçando o caminho adequado eficiente e eficaz para alcançar os objetivos da lei. E isso, sem perder de vista os riscos de governança e tratamento, suas probabilidades, mitigações, indicadores, medições e, finalmente, as proteções respectivas.

A gestão deve ser o ponto forte do encarregado de dados, pois além do conhecimento técnico, suas atividades irão girar em torno da governança e intervenção junto os diversos “stakeholders” da empresa, discernir sobre o direito dos titulares, estudar e atualizar-se sobre às leis, acompanhar o compliance existente na corporação, prezar pela transparência interna e externa, dominar comunicação, estar a par da gestão do consentimento, executar atendimentos diversos, conhecer e recomendar a segurança da informação, gerir resposta à incidentes, propor eventuais adequações e acompanhar projetos novos e em andamento.

Ademais, o artigo 37º da referida lei, determina a existência de um registro das operações de tratamento de dados pessoais, ou aquilo que denominamos “mapa de dados”, que nos permite uma ampla visão sobre as atividades que envolvem este tratamento, cuja a maioria das empresas peca pela falta dele. O encarregado de dados o utilizará em suas atividades, podendo indicar onde estão presentes os diversos riscos e responder, através dele, à Autoridade Nacional de Proteção de Dados.

Como vemos, a importância desta posição e respectivas funções é alta, prioritária e estratégica para as empresas, sendo que, permissivamente segundo a lei, pode ser indicada uma pessoa física ou jurídica como responsável encarregada da proteção de dados pessoais. Haverá um alto valor agregado nesta contratação, seja na prestação de serviços ou na figura de um colaborador.

As empresas devem dar o respectivo valor às suas próprias marcas, prezar pela aderência à lei, respeitando os proprietários dos dados, lembrando que os benefícios que serão angariados com a prevenção serão bem maiores para a corporação do que os custos com processos administrativos e sanções elevadas, estas que poderão ser de até 5% de seu faturamento bruto, trâmites judiciais, eventuais perdas financeiras e possíveis máculas de imagem.

*Bruno Aghazarm, consultor das áreas de segurança de dados e LGPD do Henneberg, Ferreira e Linard Advogados. Pós-graduado e especialista em Direito Digital. Graduado em Engenharia Eletrônica e Direito

Comentários

Os comentários são exclusivos para assinantes do Estadão.