Quais são as responsabilidades e atribuições do DPO dentro do processo de conformidade com a LGPD?
O DPO (Data Protection Officer) é uma figura essencial no processo de conformidade à LGPD. É ele o responsável por garantir e controlar o cumprimento da Lei Geral de Proteção de Dados Pessoais dentro da empresa.
Além disso, nos termos do art. 41 da LGPD, é uma designação obrigatória, cujo não cumprimento pode implicar em sanções de desconformidade.
Neste artigo, você vai entender quais são as responsabilidades e atribuições dessa função tão crucial para a conformidade com a LGPD – o DPO.
Responsabilidades e atribuições do DPO
Tanto na Europa, quanto no Brasil, cabe ao DPO:
- Receber do agente de tratamento dos dados todas as informações que identifiquem eventual atividade de tratamento de dados.
- Entender todo o ciclo de vida dos dados pessoais, instruindo o responsável pelo tratamento para que as atividades relacionadas estejam em conformidade com os princípios, direitos e demais exigências que constam da LGPD.
- Levar ao conhecimento dos mais altos escalões hierárquicos do agente de tratamento todas as conclusões e instruções sobre os riscos envolvidos em caso de inadequação com a LGPD.
- Ser o elo entre a organização, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados, atuando como canal de interlocução com estes entes, devendo zelar para que o acesso a ele seja facilitado, de forma gratuita, clara e pública nos meios de comunicação do agente de tratamento, conforme Art. 41, § 1º.
- Coordenar a elaboração do relatório de impacto à proteção de dados pessoais (art. 5, XVII), documento que poderá ser exigido pela ANPD nos casos que envolverem, por exemplo, tratamento de dados sensíveis (Art. 38) e utilização de legítimo interesse como base legal (Art. 10, § 3º).
É importante salientar que o DPO não pode ter nenhuma ingerência sobre as atividades do agente de tratamento, pois em razão de sua independência, o DPO deve apenas orientar, cabendo a gestão exclusivamente ao respectivo agente de tratamento.
Sobre a relevância da atuação do DPO
Analisando-se a LGPD e tomando como referência o Regulamento Europeu de Proteção de Dados (GDPR base da LGPD), é possível se extrair algumas conclusões preliminares acerca da atuação do DPO, função de extrema relevância:
- Ao DPO devem ser conferidas garantias efetivas de autonomia no desempenho de suas funções, não se admitindo que seja penalizado em razão do desempenho destas. Diante dessas garantias, pode-se admitir, inclusive, que este seja parte integrante da organização ou ator externo, prestador de serviços.
- É altamente recomendável que o DPO tenha profundo conhecimento da LGPD e das melhores práticas internacionais relacionadas com privacidade e proteção de dados.
- O DPO, a priori, não poderá ser responsabilizado por eventual aplicação de sanção ou responsabilidades ao agente de tratamento de dados (controlador ou operador) advindas de violação à LGPD, uma vez que a sua função é consultiva, não cabendo ao DPO adotar nenhuma medida junto a qualquer operação de tratamento de dados. Cabe ao agente de tratamento adotar, ou não, as orientações do DPO, ciente dos riscos.
- Entretanto, não se pode admitir a não responsabilidade total do DPO, devendo ser este responsabilizado em casos excepcionais de vazamento de dados e de não conformidade com a LGPD, onde haja comprovadamente negligência, imprudência, imperícia ou dolo que induza o agente de tratamento de dados a adotar atitude teratológica e manifestamente contrária aos mandamentos da LGPD.
Estamos preparando um e-book sobre tudo o que você precisa saber para escolher o DPO da sua empresa.
Para receber esse conteúdo, entre outros dentro do arcabouço da LGPD e do DPO, clique aqui e deixe o seu contato. Assim, você fica sabendo, em tempo, sobre nossas novas publicações sobre a conformidade com a LGPD.
Confira, ainda, 16 obrigações que a sua empresa deve cumprir até agosto de 2020, quando a LGPD entrar em vigor.