O papel do DPO: responsabilidades, atribuições e importância
Quando uma empresa não segue à risca as recomendações da Lei Geral de Proteção de Dados (LGPD), as chances de ser multada são enormes. E são multas grandes, que podem chegar a 2% do faturamento bruto. Por isso, qualquer tipo de dado de cliente ou possível cliente deve ser tratado com cuidado.
É por isso que a
figura do DPO, Data Protection Officer, tem sido tão comentada. Esse profissional é praticamente um guardião de dados nas organizações e tem uma atuação superestratégica. A gente entra em detalhes ao longo do texto, confira!
O que é um DPO (Data Protection Officer)?
DPO é a sigla para Data Protection Officer ou, em tradução livre, pessoa encarregada de proteção de dados.
No caso, esse profissional é designado por uma organização para garantir o cumprimento das leis e regulamentos de proteção de dados, como a LGPD (Lei Geral da Proteção de Dados no Brasil) e também a GDPR na União Europeia, que, para algumas empresas, também precisa ser respeitada no Brasil.
Sabemos que, hoje, os dados de uma empresa são uma das partes mais importantes de qualquer organização, imprescindíveis para o crescimento, análise e geração de novos negócios. Entretanto, desde setembro de 2020, quando a LGPD entrou em vigor, existe uma política sobre dados que precisa ser seguida à risca para manter a reputação e a segurança da empresa — é aí que entra o papel do DPO.
Vale saber ainda que, segundo a LGPD, o DPO deve ser uma pessoa, natural ou jurídica, indicada pelo controlador, para atuar como um canal de comunicação entre o agente de tratamento, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD).
Qual é o papel e as responsabilidades de um DPO?
O DPO desempenha um papel crucial na garantia de que a organização esteja em conformidade com as leis de proteção de dados, protegendo os direitos dos indivíduos e mitigando riscos relacionados ao tratamento de dados pessoais. Suas responsabilidades são as seguintes:
Compliance com a LGPD
O DPO é responsável por assegurar que a organização esteja em conformidade com todas as disposições da LGPD. Isso inclui avaliar constantemente as práticas de processamento de dados da organização para garantir que estejam alinhadas com os princípios da LGPD, como finalidade, adequação, necessidade, transparência, segurança, entre outros.
Também fica responsável por desenvolver e implementar políticas internas de proteção de dados que estejam em conformidade com os requisitos da LGPD, assim como o registro de atividades de tratamento, ou seja, manter documentadas as atividades de tratamento de dados realizadas pela organização, conforme exigido pela LGPD.
Aconselhamento interno
A orientação jurídica é parte do papel do DPO, como ao fornecer orientação à organização sobre as obrigações e responsabilidades decorrentes da LGPD. A consultoria estratégica também, como aconselhar a alta administração e os diversos setores da organização sobre as melhores práticas para o tratamento de dados pessoais, visando minimizar riscos e garantir conformidade.
Treinamento e conscientização
Promover a conscientização sobre proteção de dados entre os funcionários, fornecendo treinamentos regulares sobre as políticas e procedimentos de proteção de dados da organização é papel imprescindível de quem se torna DPO.
Capacitar os funcionários que lidam com dados pessoais, e atualizá-los sobre novas questões legais, é um ponto essencial para que a empresa esteja em conformidade.
Cooperação com autoridades de proteção de dados
O DPO serve como ponto de contato principal entre a organização e a Autoridade Nacional de Proteção de Dados (ANPD) no Brasil, ou outras autoridades de proteção de dados em diferentes países.
Esse profissional deve facilitar e coordenar qualquer comunicação necessária com as autoridades de proteção de dados, incluindo notificações de violações de dados e colaboração em investigações.
Avaliação de impacto de proteção de dados
Também é papel do DPO realizar avaliações de impacto de proteção de dados sempre que necessário, especialmente em casos de processamento de dados de alto risco.
Outra função é a mitigação de riscos, recomendando medidas para mitigar os riscos identificados durante as avaliações, o que assegura que a organização implemente as salvaguardas apropriadas para proteger os direitos e liberdades dos titulares de dados.
Auditorias
O DPO também deve realizar auditorias regulares para verificar a conformidade com as políticas e procedimentos de proteção de dados da organização. Isso ajuda a identificar áreas onde a organização pode melhorar sua conformidade com a LGPD e outras regulamentações de proteção de dados.
Como deve ser o relacionamento do DPO com a alta direção e com os funcionários de uma empresa?
O relacionamento do DPO com a alta direção e com os funcionários de uma empresa é essencial para garantir uma cultura organizacional de conformidade e proteção de dados eficaz. É preciso considerar os seguintes momentos:
Implementação de políticas e procedimentos de proteção de dados
Com a alta direção:
O DPO deve fornecer orientação à direção sobre as implicações estratégicas das leis de proteção de dados, ajudando-os a entender os impactos nos objetivos e operações da empresa.
Também é sua função convencer a alta direção da importância da conformidade com as leis de proteção de dados não apenas como uma obrigação legal, mas também como um diferencial competitivo e um reflexo de responsabilidade corporativa.
O DPO e c-levels da empresa devem ter uma comunicação aberta e muito transparente, com o objetivo de implementar políticas internas na empresa, para que sejam desenvolvidas e revisadas com frequência tais políticas e procedimentos de proteção de dados que sejam adequados às operações específicas da empresa e que promovam uma abordagem proativa à proteção de dados.
Com os funcionários:
O DPO deve garantir que as políticas e procedimentos de proteção de dados sejam implementados de forma prática em todos os níveis da organização. Isso inclui incentivar a participação dos funcionários na implementação das políticas, explicando como essas políticas afetam seu trabalho diário.
Também é sua função coletar feedback dos funcionários sobre a eficácia das políticas e procedimentos e fazer ajustes conforme necessário para melhorar a conformidade e a eficiência operacional.
Treinamento e conscientização em proteção de dados
Com a alta direção:
Cabe ao DPO sensibilizar a alta direção sobre a importância de seu papel na promoção de uma cultura de proteção de dados, exemplificando o compromisso pessoal com as políticas e procedimentos estabelecidos.
O profissional ainda precisa garantir que a alta direção participe de treinamentos específicos sobre proteção de dados para entender profundamente os requisitos e as melhores práticas.
Com os funcionários:
Desenvolver e ministrar treinamentos regulares para todos os funcionários, adaptados aos diferentes níveis de envolvimento com dados pessoais, é papel do DPO. Também faz parte de suas funções promover uma cultura de conscientização sobre proteção de dados, destacando os direitos dos indivíduos e as responsabilidades da organização.
É fundamental utilizar exemplos práticos e estudos de caso relevantes para ilustrar a importância da proteção de dados na vida cotidiana e nos negócios da empresa.
Monitoramento e auditoria da conformidade com a proteção de dados
Com a alta direção:
É papel do DPO fornecer relatórios periódicos à alta direção sobre o estado da conformidade com as leis de proteção de dados, destacando áreas de risco e recomendações para melhorias.
Em um segundo momento, vale discutir os resultados das auditorias e avaliações de conformidade para garantir que a alta direção esteja informada e possa tomar decisões assertivas.
Com os funcionários:
Realizar auditorias internas regulares para avaliar o cumprimento das políticas de proteção de dados em todas as áreas da organização, tal qual oferecer suporte aos funcionários durante as auditorias, respondendo a perguntas e esclarecendo dúvidas para garantir uma implementação consistente das políticas de proteção de dados.
Qual é o papel do DPO em incidentes de violação de dados?
O papel do DPO em incidentes de violação de dados pode variar com o contexto, mas costuma envolver os seguintes momentos:
Detecção e investigação
O DPO geralmente é responsável por detectar ou ser informado sobre incidentes de violação de dados dentro da organização. Isso pode incluir acompanhar a investigação inicial para determinar a natureza e a extensão da violação.
Notificação às autoridades
Dependendo da gravidade da violação e das leis locais, o DPO pode ser encarregado de notificar a Autoridade de Proteção de Dados competente dentro do prazo exigido pela legislação aplicável.
Por exemplo, na LGPD, a comunicação de vazamento e violação tem todo um
protocolo que deve ser seguido.
Comunicação com os titulares de dados
O DPO é responsável por coordenar a comunicação com os titulares de dados afetados pela violação, informando sobre a natureza do incidente, os potenciais impactos e as medidas de proteção que estão sendo tomadas.
Coordenação interna
Também cabe ao DPO trabalhar em estreita colaboração com as equipes internas relevantes, como TI, segurança da informação, comunicação corporativa e jurídico, para gerenciar a resposta à violação de dados de maneira coordenada e eficaz.
Avaliação de impacto de proteção de dados
Se a violação de dados envolve riscos significativos para os direitos e liberdades dos indivíduos, o DPO deverá participar junto do time de crise, para uma avaliação de impacto de proteção de dados, analisando os riscos e determinando sobre as medidas adequadas de mitigação para redução dos riscos aos titulares dos dados.
Implementação de medidas corretivas
Também é seu papel recomendar e supervisionar a implementação de medidas corretivas para evitar futuras violações de dados e melhorar a segurança da informação da organização.
Aqui estamos falando de treinamentos, revisões de política e também da contratação de
seguro cibernético para evitar e reduzir danos na organização.
Registro e documentação
Cabe ao DPO manter registros detalhados de todas as violações de dados ocorridas, das medidas tomadas em resposta e das comunicações feitas com as autoridades e os titulares de dados. Para isto é importante que o DPO tenha na organização um Plano de Resposta a Incidentes para ser rigorosamente seguido em caso de um incidente.
A importância da nomeação de um DPO
Nomear um DPO em sua empresa é essencial, uma vez que você garante conformidade legal com a LGPD, favorece a gestão de riscos e cria uma cultura de bons procedimentos.
Fora que as organizações que demonstram um compromisso sério com a proteção de dados não apenas cumprem com as obrigações legais, como também ganham a confiança dos clientes, parceiros comerciais e demais stakeholders. Ou seja,
ter um DPO é um diferencial competitivo.
Uma vez que falamos sobre a importância dos treinamentos sobre LGPD,
conheça nosso curso para mitigar riscos de vazamento de dados!
Gostou do conteúdo? Confira outros posts recentes:
Produtos
Florianópolis
Rodovia José Carlos Daux, 600, módulo 10 - João Paulo, Florianópolis / SC
CNPJ: 11.517.774/0001-00
São Paulo
Avenida Paulista, 302 - Bela Vista, São Paulo / SP
CNPJ: 11.517.774./0002-91
Todos os direitos reservados | NV Seguros Digitais