Por Tainã Dias e Evelliza Dornela, consultoras de Data Privacy da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
A profissão de DPO (Data Protection Officer) ou Encarregado de Dados se tornou conhecida no Brasil com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD), tendo sido incluída, em 2022, na Classificação Brasileira de Ocupações (CBO) pelo Ministério do Trabalho.
Um DPO é a pessoa física ou jurídica responsável por realizar a comunicação entre o controlador, a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares de dados. Nas organizações, exceto nas de pequeno porte, conforme Resolução CD/ANPD nº 2/2022, a nomeação deste profissional é obrigatória perante à LGPD. Mas, além da responsabilidade como agente de tratamento inerente à comunicação, o DPO enfrenta desafios no exercício da sua função que exigem atuação multidisciplinar.
Posto isso, a ele cabe a promoção da cultura de Privacidade e Proteção de Dados Pessoais na organização para que as políticas e os procedimentos internos sobre privacidade sejam seguidos em todos os níveis organizacionais.
O profissional também precisa estar sempre atento às orientações da Autoridade Nacional (ANPD), tomar as devidas providências diante das situações que envolvem tratamento de dados pessoais, prestar esclarecimentos aos titulares de dados, dar respaldo no que tange às reclamações e comunicações e orientar colaboradores sobre boas práticas, bem como monitorar a conformidade da empresa em relação às obrigações legais.
Para tanto, é necessário engajamento com diferentes áreas para que a cultura da privacidade seja estabelecida de forma efetiva e contínua. Na análise de um incidente, por exemplo, é possível e necessário envolver mais de uma área para além da atuação do DPO, como a Segurança da Informação, que irá aplicar medidas técnicas de contenção e avaliação do incidente. O jurídico, por sua vez, emitirá um parecer sobre as eventuais consequências jurídicas, e as áreas de negócio serão acionadas em caso de informações adicionais.
Nos casos de treinamentos aos colaboradores, é necessário o envolvimento do RH para promover o engajamento. Já no que tange à avaliação de fornecedores, é preciso contar com a área de suprimentos para garantir que a avaliação de privacidade faça parte do fluxo de contratação e de renovações.
Esses são alguns dos casos nos quais é possível perceber a necessidade de atuação de um DPO com conhecimento dos processos internos da organização, desenvolvimento interpessoal e capacidades técnicas que vão além de privacidade.
Essa abordagem multidisciplinar permite mitigar os riscos no que diz respeito à privacidade e à proteção de dados pessoais a partir de uma análise mais completa e efetiva sobre os impactos do tratamento das informações.
Portanto, apenas o conhecimento teórico do DPO, sem a atuação focada nas várias áreas correlacionadas ao desenvolvimento das ações de privacidade e proteção de dados e sem um bom entendimento da estrutura organizacional da empresa, o programa de privacidade não será efetivo.
