Manual do Dpo - Ed. 2021

2. Data Protection Officer: Indicação, Funções e Responsabilidade

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Autor:

NURIA LÓPEZ

Doutora em Teoria e Filosofia do Direito pela PUC-SP. Sócia na área de Tecnologia, Privacidade e Proteção de Dados da Daniel Law. Professora convidada do curso de formação de Data Protection Officer: Proteção de Dados e Privacidade da FGV-Rio e dos cursos de Direito Digital e Compliance Digital da Universidade Presbiteriana Mackenzie. Pesquisadora do Instituto Legal Grounds for Privacy Design.

1.Introdução

São muitas as dificuldades enfrentadas pelas organizações que precisam se adequar à Lei Geral de Proteção de Dados ( LGPD). Uma delas, sem dúvidas, é a constituição do cargo de Data Protection Officer, o DPO, como ficou conhecido no mercado, o Encarregado pelo Tratamento de Dados Pessoais, nome adotado pela LGPD.

O cargo é novo para o mercado brasileiro e a LGPD foi bastante enxuta em sua redação. Dedicou poucas normas ao cargo, deixando mais espaço à futura regulamentação da Autoridade Nacional de Proteção de Dados (ANPD). Como consequência, é comum encontrar queixas de desorientação sobre essa figura central na proteção de dados pessoais, desdobradas nas mais diversas perguntas: quem é o DPO? Quem se deve indicar? Qual sua formação? Quais suas funções? Qual sua responsabilidade no compliance de dados pessoais?

Nesse cenário, essa aula, e agora, este capítulo, têm como objetivo trazer parâmetros concretos para a construção do cargo de DPO nas empresas e órgãos públicos. O cargo é novo para o mercado brasileiro, mas existe em outros países há mais de quarenta anos. Ele é parte integrante do desenvolvimento da proteção de dados na União Europeia; e a experiência europeia consolidou, ao longo do tempo, importantes parâmetros de Governança sobre o cargo do DPO, que devem ser observados independentemente de prescrições legais (ou da falta delas, no nosso caso) por uma razão bastante realista: eles são necessários para a efetividade do compliance. Ou seja, parâmetros como autonomia, ausência de conflito de interesses e confiança por parte da organização, entre outros, são pilares da construção do cargo de DPO independentemente de estarem previstos em lei, pois sem eles as funções do DPO não podem ser exercidas.

2.“É um cargo novo?”

Após a indicação para assumir o cargo de DPO, é o que mais se ouve: “é um cargo novo?”. Aqui no Brasil, sim. O cargo de DPO entra no mercado brasileiro pela LGPD. Contudo, já existia na União Europeia há mais de quarenta anos.

A primeira legislação de proteção de dados pessoais a trazer o cargo do DPO no formato como o conhecemos hoje foi a Lei Federal de Proteção de Dados alemã (BDSG), de 1977 1 - 2 . É nela que surge a necessidade da indicação de um DPO também para as empresas – o que ganharia importância nas décadas seguintes com o avanço da economia digital e o tratamento massivo de dados pessoais pela iniciativa privada.

Já na lei de 1977 havia as indicações expressas de que:

• o DPO apenas poderia ser nomeado se tivesse conhecimentos especializados e gozasse de confiança para o desempenho de suas funções (§ 28 (2), BDSG);

• ele deveria se reportar diretamente ao proprietário, ao conselho de administração, ao diretor geral ou a qualquer outro cargo da Alta Administração (§ 28 (3), BDSG);

• ele não está sujeito a instruções ao aplicar seus conhecimentos especializados no domínio da proteção de dados (§ 28 (3), BDSG);

• ele não deve ser prejudicado pelo desempenho de suas funções (§ 28 (3), BDSG);

• ele deverá ter o apoio das pessoas, sociedades ou organizações obrigadas a indicá-lo no desempenho de suas funções (§ 28 (4), BDSG).

A lei alemã também traz uma definição simples e central para o cargo do DPO, que é até hoje minha favorita: o DPO é a pessoa que garante que a legislação de proteção de dados seja implementada (§ 29, BDSG). É o DPO a pessoa responsável por tornar os requerimentos legais, gerais e abstratos, realidade no dia a dia de sua organização.

Nessa missão, ele poderia contactar a autoridade supervisora (de proteção de dados) em caso de dúvidas (§ 29, BDSG), de forma que havia também o contato direto do DPO com a autoridade de proteção de dados pessoais.

Para essa lei, o DPO deveria (§ 29, BDSG):

• manter uma visão geral do tipo de …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
23 de Maio de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1198088557/2-data-protection-officer-indicacao-funcoes-e-responsabilidade-manual-do-dpo-ed-2021