DPO AS A SERVICE

Encarregado pelo Tratamento de Dados Pessoais. DPO as a service.

 

Entenda qual é o papel do encarregado pelo tratamento de dados pessoais, ou seja, do DPO AS A SERVICE na LGPD.

Nesse contexto, ninguém melhor que um Advogado Especialista em LGPD e DPO as a service, Dr. Wagner Gundim, que é PhD e possui todas as certificações nacionais e internacionais necessárias, para tratar do assunto.

O Dr. Wagner Gundim é responsável pela implementação da LGPD em diversas empresas e também é DPO as a service, ou seja, DPO terceirizado.

Sua atuação tem evitando que os contratantes sejam sancionados e otimizado diversos aspectos de controles internos, agregando maior credibilidade e funcionalidade para as empresas.

Além disso, o DPO as a service, Dr. Wagner Gundim, teve a oportunidade de participar da elaboração de diversos livros e artigos sobre o tema, abarcando aspectos da LGPD em paralelo com o Direito Constitucional, o que o torna um verdadeiro ícone no assunto.

Dr. Wagner Gundim. DPO na LGPD.

Caso seu interesse seja contratar DPO as a service, basta encaminhar uma mensagem clicando aqui ou entrar em contato através dos nossos telefones, e-mails ou via whatsapp clicando no balãozinho no lado inferior direito da página.

Pois bem.

Como é sabido, o ano de 2020 foi um verdadeiro marco na proteção dos dados pessoais no Brasil com o início da vigência da Lei n.º 13.709/2018 (“Lei Geral de Proteção de Dados”), a qual passou a estruturar os fundamentos, bases e princípios que devem reger todo e qualquer tratamento de dados no país.

É preciso destacar desde logo que o integral atendimento à Lei Geral de Proteção de Dados Pessoais não está restrito apenas e tão somente à elaboração de documentos jurídicos, tais como Política de Privacidade ou mesmo Política de Cookies, como se tem visto na prática por alguns agentes de tratamento.

Tais documentos são sim importantes, mas sozinhos não são aptos a demonstrar integral conformidade aos pilares que devem reger a proteção de dados no Brasil e no mundo.

ATENÇÃO!

A adequação concreta e real à LGPD demanda a criação de um Programa Interno de Governança em Privacidade de Dados, com intercâmbio entre todas as áreas da empresa, de modo a evitar ou minimizar ao máximo riscos inerentes ao vazamento de dados pessoais.

E, nesse panorama, existe um ator essencial para que o Programa de Governança em Privacidade de Dados seja implementado de modo a atender as estruturas mínimas que se espera de qualquer agente de tratamento: o DPO na LGPD, que é Encarregado pelo Tratamento de Dados Pessoais (também chamado de Data Protection Officer – conforme definido pelo Regulamento Geral sobre Proteção de Dados da União Europeia (GDPR).

Passemos agora a analisar questões específicas relativas à atuação do Encarregado pelo Tratamento de Dados Pessoais e sua regulamentação no Brasil.

1) EM QUAIS SITUAÇÕES EU SOU OBRIGADO A INDICAR E CONTRATAR DPO PARA LGPD?

 Um dos primeiros questionamentos quando se discute sobre a implementação de um Programa de Governança em Privacidade de Dados está atrelado à obrigatoriedade ou não de se indicar um Encarregado pelo Tratamento de Dados Pessoais por aqueles que se enquadrem como agentes de tratamento.

Em síntese, existe muitas dúvidas sobre a obrigatoriedade de contratar DPO.

Em sendo, questiona-se o seguinte: Todo aquele que se enquadre no conceito de agente de tratamento de dados pessoais precisará indicar obrigatoriamente a figura do Encarregado pelo Tratamento de Dados Pessoais (DPO na LGPD)?

A resposta foi inicialmente trazida pela própria Lei em seu artigo 41 que, de forma resumida, consignou a obrigatoriedade de o Controlador SEMPRE indicar o Encarregado Pelo Tratamento de Dados Pessoais (DPO).

Ou seja, pela expressa disposição da Lei, todo e qualquer agente de tratamento, independentemente de seu porte, natureza jurídica ou modelo de negócios, deveria indicar o Encarregado pelo Tratamento de Dados Pessoais (DPO na LGPD).

Ocorre que, por meio da Resolução CD/ANPD n.º 2, de 27 de janeiro de 2022, o Conselho Nacional da Autoridade de Proteção de Dados (ANPD), aprovou a Regulamentação da aplicação da LGPD para agentes de tratamento de dados pessoais de pequeno porte.

Em referida Resolução foram criadas regras flexíveis no que toca à obrigatoriedade de indicação do Encarregado pelo Tratamento de Dados Pessoais (DPO para LGPD) para aqueles que se enquadrem nas hipóteses ali previstas.

Nesse particular, o art. 2º da referida Resolução adota as seguintes definições:

 

I – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte,startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;

II – microempresas e empresas de pequeno porte: sociedade empresária, sociedade simples, sociedade limitada unipessoal, nos termos do art. 41 da Lei nº 14.195, de 26 de agosto de 2021, e o empresário a que se refere o art. 966 da Lei nº 10.406, de 10 de janeiro de 2002 (Código Civil), incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que se enquadre nos termos do art. 3º e 18-A, §1º da Lei Complementar nº 123, de 14 de dezembro de 2006;

III –startups: organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos no Capítulo II da Lei Complementar nº 182, de 1º de junho de 2021; e

IV – zonas acessíveis ao público: espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros.

É preciso acentuar, entretanto, que nem todos os agentes de tratamento que se enquadrem nas hipóteses acima estarão automaticamente desobrigados da necessidade de indicar o Encarregado pelo Tratamento de Dados Pessoais (DPO na LGPD).

Não se trata de uma regra absoluta e automática, isto é, em algumas situações específicas, ainda que a sua empresa possa ser enquadrada como uma startup, por exemplo, ainda assim a obrigação de indicação do DPO pode ser obrigatória. É o que consta expressamente no art. 3º da mesma Resolução que assim dispõe:

Art. 3º Não poderão se beneficiar do tratamento jurídico diferenciado previsto neste Regulamento os agentes de tratamento de pequeno porte que:

I – realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º;

II – aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021; ou

III – pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.

Ademais, também torna-se preciso consignar que a flexibilização ou dispensa de algumas obrigações previstas na Resolução não isentam os agentes de tratamento de pequeno porte de cumprir as demais disposições da LGPD, razão pela qual a implementação de um Programa de Governança em Privacidade de Dados ainda se faz necessária.

Por fim e não menos importante, ainda que a ANPD tenha flexibilizado a obrigatoriedade do DPO as a service para os agentes de pequeno porte, a sua indicação será considerada como uma boa prática de governança, o que, do ponto de vista de criação de uma cultura de privacidade de dados e adequação à LGPD é extremamente importante.

Dessa forma, de tudo isso, é possível concluir que, via de regra, qualquer pessoa (física ou jurídica), de direito público ou privado, que realize algum tipo de tratamento de dados pessoais deverá indicar um Encarregado pelo Tratamento de Dados Pessoais, ou seja, contratar DPO.

E mesmo que a sua designação seja facultativa aos agentes de pequeno porte, sugere-se a sua efetivação como boa prática de governança.

2) QUAL É O PAPEL DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (DPO AS A SERVICE) NA CONFORMIDADE À LGPD?

O Encarregado pelo Tratamento dos Dados Pessoais (DPO as a service) é um dos agentes centrais na implementação de um Programa de Governança em Proteção e Privacidade de Dados em qualquer organização.

Por isso é sempre ideal que o processo de criação do referido Programa seja acompanhado ou pelo menos posteriormente revisado por aquele que exercerá referida função.

 Ao tratar sobre o papel do Encarregado pelo Tratamento de Dados Pessoais (DPO as a service) o art. 41 da LGPD elenca as seguintes funções:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

2º As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Mas não é só!

Além dos papéis expressamente previstos pela LGPD, algumas Instituições, até mesmo em cumprimento às definições mais amplas trazidas pelo Regulamento Geral de Proteção de Dados da União Europeia (GDPR) tem atribuído outras funções relevantes e mais amplas, tais como:

  • Implementação e constante monitoramento de medidas e de estrutura de governança de privacidade para gerenciar o uso de dados em conformidade com a legislação aplicável;
  • Atuação conjunta com os mais variados setores da empresa, especialmente na revisão de projetos e dados relacionados para garantir a conformidade com as leis locais de privacidade de dados;
  • Revisão de contratos de funcionários, parceiros e outros agentes que, de alguma forma, lidem com os dados pessoais da empresa, de modo a garantir que os requisitos de Segurança da Informação e demais elementos do Programa de Governança em Privacidade de Dados sejam atendidos;
  • Fazer análises de risco sobre as atividades que possam gerar danos aos titulares de dados ou mesmo à organização;
  • Elaboração dos documentos obrigatórios para o cumprimento das disposições da legislação aplicável, especialmente do Registro das Operações de Tratamento de Dados Pessoais, bem como do Relatório de Impacto de Proteção de Dados Pessoais, quando aplicável;
  • Acompanhamento e condução de eventos que caracterizem incidentes de segurança da informação.

Como se vê, o Encarregado pelo Tratamento de Dados Pessoais (DPO para LGPD) é um importante instrumento de maximização de qualquer Programa de Governança de Privacidade de Dados, razão pela qual a sua escolha deve ser extremamente criteriosa.

3) QUEM DESIGNAR COMO DPO AS A SERVICE – ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS E QUAIS AS HABILIDADES NECESSÁRIAS?

         

Considerando a importância exercida pelo Encarregado pelo Tratamento de Dados Pessoais (DPO na LGPD) e a necessidade de que o Programa de Governança em Privacidade de Dados seja não apenas criado, mas mantido na organização, para que se possa ter uma verdadeira e efetiva cultura de proteção, é preciso fazer a escolha de quem exercerá a função de forma bem criteriosa.

Um dos primeiros questionamentos está atrelado à decisão de se internalizar ou externalizar o processo de contratação do DPO.

Em outras palavras: é mais vantajoso designar como Encarregado um funcionário já vinculado à empresa ou terceirizar a função com a contratação do DPO As a Service (Terceirizado)?

Não há uma resposta correta para essa pergunta. A melhor decisão vai depender de variados fatos, ligados essencialmente ao contexto organizacional, ao modelo de negócio da instituição, mas sobretudo às habilidades e competências de quem exercerá a função.

Por óbvio que a internalização pode trazer algumas vantagens, afinal, o funcionário que integra a organização já possui um conhecimento detalhado sobre o fluxo dos dados, bem como sobre os procedimentos padrões adotados, o que garantiria celeridade à resolução de questões afetas à tutela dos dados.

Entretanto, também existem desvantagens tanto do ponto de vista organizacional, mas sobretudo financeiro.

Apenas para exemplificar, segundo alguns sites de vagas na área, estima-se que o salário médio mensal de um Encarregado pelo Tratamento de Dados Pessoais é de R$ 19.689,00, sem considerar os acréscimos de custos decorrentes de encargos trabalhistas/sociais.

Do mesmo modo, a organização também precisará investir financeiramente na capacitação do eventual funcionário designado, o que envolverá gastos com cursos, certificações e eventos relativos à temática de Privacidade de Dados.

Ainda e não menos importante, há um risco inerente à internalização da função do DPO no âmbito das organizações.

Isso porque, ao dispor sobre a implementação do Programa de Governança e Privacidade, um dos requisitos essenciais é que o Encarregado pelo Tratamento de Dados Pessoais tenha independência garantida para sua atuação e que o acúmulo de funções não represente em um conflito de interesse.

É justamente por isso que muitas organizações estão decidindo pela terceirização do Serviço de DPO (DPO as a Service), contratando pessoas jurídicas especializadas (o que já evita o gasto com capacitação de profissional interno) que ficarão responsáveis pela implementação, acompanhamento e gerenciamento do Programa de Governança em Privacidade de Dados.

Por fim e não menos importante, ainda que a LGPD não tenha indicado expressamente quais devem ser as habilidades e requisitos mínimos para o exercício da função como DPO, existem parâmetros internacionais que indicam boas práticas que podem (e devem) ser seguidas pelas organizações.

O Regulamento Geral de Proteção de Dados da União Europeia (GDPR), por exemplo, exige que o Encarregado (DPO as a service)seja definido a partir de suas qualidades profissionais representadas pelo domínio da legislação e das boas práticas de proteção de dados.

No caso do Brasil, especificadamente, também é ideal que o Encarregado tenha conhecimentos não apenas regulatórios e legais, mas sobretudo e parâmetros definidos pelas normas de segurança da informação e em controles previstos pela Associação Brasileira de Normas Técnicas (ABNT), em especialmente do conteúdo das ISSO/IEC 27001 e ISO/IEC 27701.

CONCLUSÃO

Como se viu, a LGPD está em pleno vigor no Brasil e todas as suas normas se tornaram obrigatórias, dentre elas aquela que prevê, via de regra, a necessidade de contratação de um DPO para a organização.

A necessidade de se estabelecer um eficaz Programa de Governança em Privacidade de Dados não pode decorrer apenas e tão somente do receio de a organização sofrer as penalidades previstas na LGPD, mas sobretudo de se criar uma cultura de proteção e privacidade dos dados, na medida em que o maior ativo de toda e qualquer organização é a sua clientela.

E, contar com o apoio de um DPO especializado é fundamental para garantir que a sua empresa estará em conformidade com a legislação, mas sobretudo estará apta a atender as solicitações de seus clientes no que diz respeito à tutela de seus dados pessoais.

Se quiser obter mais informações sobre a contratação de DPO terceirizado (DPO AS A SERVICE), a nossa Equipe está integralmente à disposição para tratar sobre o tema.

 

Está gostando do conteúdo? Compartilhe!

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Share on tumblr
Share on skype
Share on telegram
Share on whatsapp
Share on email
Inexequibilidade da Proposta na Nova Lei de Licitações
Posted on
0
A mudanças da norma (Lei nº 14.133/2021) trouxe alterações significativas para o processo licitatório, dentre elas a questão da inexequibilidade da proposta na nova Lei de Licitações. Esse tema merece ...
Advogado para Sustentação Oral
Posted on
0
O advogado para sustentação oral precisa ser um profissional completo.   Desse modo, não basta que ele tenha apenas experiência prática ou bom trânsito nos Tribunais, não é suficiente.   ...
Preterição em Concurso Público
Posted on
0
  A preterição em concurso público é um tema complexo e de extrema importância para candidatos que buscam compreender seus direitos e os procedimentos legais envolvidos.   Neste artigo, abordaremos ...
Advogado Especialista em Locação de Imóveis
Posted on
0
Um advogado especialista em locação de imóveis desempenha um papel crucial no mercado imobiliário, auxiliando locadores e locatários. O advogado especialista em locação assegura que que todas as transações e ...
ADVOGADO ESPECIALISTA EM PAD
Posted on
0
Se você procura um Advogado Especialista em PAD, o Dr. Victor Ganzella é referência no assunto.   São mais de dez anos de experiência na condução de casos de pequena ...
LEI ANTICORRUPÇÃO COMPLIANCE
Posted on
0
  A Lei 12.846/2013, disciplina a responsabilização administrativa e cível das pessoas jurídicas por atos praticados contra a administração pública nacional e internacional, por isso é procurada por Lei Anticorrupção ...

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

© 2023 Gundim Ganzella. Todos os direitos reservados

  • Av. Paulista, 2073, Cj. I, Sl. 1214, São Paulo - SP, CEP 01311-300
  • contato@gundimganzella.com.br
  • +55 (11) 3288-6974
  • +55 (11) 98481-5141
  • 34.741.573/0001-98

© 2023 Gundim Ganzella. Todos os direitos reservados

Peça já um orçamento!