Onde estamos

Al. Joaquim Eugênio de Lima, 680 - 1º andar - Jardim Paulista, São Paulo - SP

Entre em contato

Fonte: Rony Vainzof, Sócio no Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.

Em outubro de 2019 já ponderei que a Governança é o epicentro da jornada de Compliance em Proteção de Dados Pessoais, pois a pedra de toque em qualquer plano de adequação à LGPD é o

desenvolvimento, implantação e manutenção perene da estrutura de Governança em Privacidade e Proteção aos Dados Pessoais.

Mas não há como desenvolver tal estrutura sem a criação e o chancelamento da área que cuidará do tema nas empresas.

A LGPD pecou ao ser extremamente rasa justamente na figura central da governança, o Encarregado (Data Protection Officer – DPO), que deverá ser indicado pela empresa, com identidade e informações de contato divulgadas publicamente, de forma clara e objetiva, preferencialmente em seu portal, com as seguintes responsabilidades, previstas em Lei:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;Receber comunicações da autoridade nacional e adotar providências;

  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O GDPR, de forma muita mais densa, em razão da importância do cargo, prevê que o DPO é designado com base nas suas qualidades profissionais e, em especial, no seu conhecimento jurídico especializado e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as seguintes funções:

  • Informar e aconselhar a empresa e seus colaboradores que tratem dados pessoais a respeito das suas obrigações;

  • Controlar a conformidade com o GDPR e demais normas aplicáveis, incluindo o compartilhamento de responsabilidades, a sensibilização e formação dos profissionais que sejam competentes por operações de tratamento de dados;

  • Avaliar e aconselhar, quando pertinente, acerca dos relatórios de impacto;

  • Cooperar e ser o ponto de contato com as autoridades competentes.

A figura do DPO, conforme o GDPR, é tão relevante que deve contar com autonomia e independência, sendo vedada cumulação de funções que resultem em conflito de interesses.

São deveres dos agentes de tratamento, quanto ao DPO, de acordo com o GDPR:

  1. Fornecer os recursos necessários ao desempenho de suas funções e à manutenção do seu conhecimento;

  2. Franquear acesso aos dados pessoais e às operações de tratamento;Não interferir no exercício de suas funções;

  3. Não demitir ou penalizar o DPO no exercício regular de suas funções;

  4. Garantir que o DPO reporte e responsa diretamente a direção no seu mais alto nível.

Sem dúvida, diante da sua relevância e responsabilidades, a nomeação do DPO é um desafio a ser cumprido, seja pela amplitude temática ou conhecimento multidisciplinar inerente a atividade.

A LGPD prevê que a nomeação do DPO é obrigatória para os controladores e a Autoridade Nacional deverá estabelecer normas complementares sobre a sua definição e atribuições, inclusive hipóteses de dispensa da necessidade de sua indicação, o que é cogente.

Clique aqui e leia o artigo completo.

Share: