Antes de entrar no assunto do porquê ter um DPO precisamos deixar claro o significado do termo DPO: “Data Protection Officer” que na tradução é o “responsável pela proteção de dados”.
Este, é o responsável por assegurar que os processos dentro das instituições estão de acordo com as regras da Lei Geral de Proteção de Dados, indicando um padrão para a coleta, manipulação e descarte dos dados pessoais inseridos no processo da empresa.
Vale lembrar que o DPO é um elemento que se tornou obrigatório e instituído pela LEI GERAL DE PROTEÇÃO DE DADOS para ser o encarregado em cuidar das questões referentes à proteção dos dados da organização e de seus clientes, através da análise dos processos. Dentro da empresa há modalidades na qual o DPO pode ser classificado:
Ambas as formas estão corretas, mas entende-se que a terceirização do DPO é uma tendência que vem sendo adotada pelas instituições, visto que a imparcialidade que o DPO terá nos processos da empresa será relevante, sem contar os custos.
O DPO tem como papel principal resguardar as informações da organização, colaboradores e os clientes da empresa, assim é importante que ele não tenha uma posição que não resulte em um conflito de interesses com seu objetivo principal que é o resguardo das informações.
DPO AS A SERVICE
Uma tendência do mercado é a contratação de profissionais/empresas terceirizadas, que pode ser tanto física como jurídica. Vale lembrar que no início, o texto da lei previa que o DPO deveria ser uma pessoa física, mas, no entanto, após alguns ajustes legislativos foi acrescentada a possibilidade de empresas prestarem o serviço de DPO, assim gerando uma segurança jurídica desejável.
Para esta modalidade, o responsável por responder as comunicações da autoridade nacional (ANPD) será este terceiro e também, ele será o responsável por receber as reclamações, realizar a comunicação dos titulares dos dados coletados e tomar as medidas necessárias em casos de não conformidades.
Sendo um terceiro dentro da empresa, o DPO prestará um serviço personalizado de consultoria e gerenciará os programas de privacidade e segurança de dados, assim a empresa consegue garantir a qualidade desta operação através de um contrato e, com toda certeza este terceiro terá cases no qual já virá com um norte para realizar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS (RIPD)
O RIPD é a documentação elaborada pelo DPO que contém a descrição dos processos de tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados.
Neste, deve constar as medidas, salvaguardas e mecanismos de mitigação de risco, tudo dentro dos termos dos artigos 5º, inciso XVII, e 38 da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD).
CONTRATEI UM DPO, ESTOU PROTEGIDO?
Não, sem sombra de dúvidas o ato de “contratar um DPO” é sim um dos passos para chegar à máxima proteção, mas apenas contratar o DPO para realizar o mapeamento das informações, verificar quais são os pontos de risco e não mitigar é sim uma imprudência por parte da empresa.
Devemos destacar que independente da empresa ter um encarregado de dados, todos os setores precisam estar engajados e informados do que se trata o assunto, pois a função do DPO é indicar e, do controlador e operado é executar.
Sem os setores engajados para fornecer as informações necessárias a fim da realização da avaliação pelo DPO, não haverá o mapeamento do processo correto dos riscos inerentes do processo e assim não será possível estabelecer as necessárias ações para aplicação da LGPD.
CONCLUSÃO
O aumento constante da unificação das informações, a facilidade e rapidez que elas chegam e saem das empresas é algo que deve ser muito bem monitorado para que não ocorram incidentes com vazamentos de dados.
Aqui não estamos apenas falando em prejuízos financeiros que podem chegar em até 2% do faturamento da empresa em forma de multa, mas também falando em manchar o nome de uma marca através da disseminação de informações sigilosas de cunho pessoal, por isso, você empresa que não iniciou o processo, busque por um DPO qualificado com certificação a fim de garantir que você estará protegido de vulnerabilidades.