Data Protection Officer (Encarregado) - Ed. 2020

Data Protection Officer (Encarregado) - Ed. 2020

Data Protection Officer (Encarregado) – Teoria e Prática de Acordo com a Lgpd e o Gdpr – Gestão de Terceiros

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Samanta Oliveira 1

Dentre as diversas atribuições e responsabilidades do Data Protection Officer 2 ou Encarregado 3 , (“DPO”), um dos principais focos de atuação desse especialista consiste em materializar o processo de adequação, seja para o acatamento das exigências da Lei Geral de Proteção de Dados (“LGPD”) 4 seja para atender as diretrizes e determinações do General Data Protection Regulation (“GDPR”). Superado o desafio inicial da implementação, o DPO ingressa em uma nova etapa, igualmente desafiadora, e cujo propósito consiste em encontrar a precisão e o equilíbrio do investimento de tempo, recursos humanos, tecnológicos e financeiros, tanto para manutenção quanto para comprovação, do compliance com as leis de privacidade e proteção de dados, responsável por assegurar a conformidade regulatória de todos os agentes de tratamento de dados da organização.

O objeto desta breve reflexão pretende, a partir da delimitação do escopo da análise, imprescindível diante da vastidão e complexidade das atividades inerentes à figura do DPO nas organizações, se concentrar nos aspectos práticos e teóricos da gestão de terceiros, refletidos na perspicácia e discernimento empregados por este profissional no exercício de suas funções. O núcleo do estudo irá demonstrar os desafios inerentes ao acompanhamento e supervisão destes agentes de tratamento para garantir a aplicabilidade dos princípios e fundamentos da proteção de dados previstos pela legislação estão sendo, de fato, respeitados.

Para isso, este trabalho foi dividido em quatro partes destinadas a expor a relevância da atuação do DPO para assegurar o compliance com a legislação de proteção de dados. A primeira parte apresentará as atribuições legais determinadas tanto pela LGPD quanto pelo GDPR, bem como os pontos de proximidade e conexão entre os diplomas normativos. Na sequência, procura-se expor os esforços e estratégias para o exercício das atividades do DPO na materialização e implementação da governança na organização seguido da gestão de terceiros no ecossistema. A quarta parte deste trabalho está focada nas prerrogativas necessárias para construção, implementação e manutenção da governança destinada a demonstrar a conformidade regulatória dos terceiros. A parte final objetiva oferecer, sem a pretensão de esgotar a discussão, uma breve conclusão acerca dos tópicos apresentados ao longo das breves reflexões aqui compartilhadas.

Com essa perspectiva, o estudo objetivará enfatizar a complexidade do debate a respeito da accountability 5 que circunda todas as ações adotadas pelo DPO no exercício de suas funções na proteção de dados, e os reflexos desta atuação na gestão de terceiros.

1.O papel do DPO na construção e manutenção da governança

A figura do DPO encontra-se prevista 6 no GDPR 7 e impõe aos profissionais da área a execução de cinco 8 atribuições 9 principais, quais sejam, (i) informar e aconselhar a organização por meio de seus respectivos representantes, assim entendidos como seus empregados, colaboradores, administradores, sócios, diretores, consultores e contratados, acerca das práticas a serem adotadas pela organização para a proteção de dados pessoais, (ii) acompanhar e supervisionar o cumprimento do GDPR na concretização das práticas, políticas e procedimentos em relação à proteção de dados pessoais no tratamento dos dados pessoais realizado pela organização, (iii) prestar consultoria, se requisitado, na avaliação de impacto à proteção de dados, (iv) cooperar com as autoridades de proteção de dados, e (v) atuar como ponto de contato da autoridade de proteção de dados por meio do recebimento de comunicações e adoção de providencias aplicáveis. Na prática o exercício das atividades dos itens (iv) e (v) estão interconectados.

De acordo com a opinião 10 do Working Party 29 (“WP29”), cujo entendido encontra-se endossado pelo European Data Protection Board (“EDPB”) 11 , o conceito de “atividades principais” do DPO, fundamentado na óptica da considerando 97 do GDPR, deve ser compreendido como sendo as operações essenciais e necessárias para alcançar os objetivos da organização.

A opinião do WP29, a partir da aplicação hermenêutica no conceito atividades principais, admite que as atividades backoffice 12 , ou seja, aquelas destinadas a servir de apoio para o desenvolvimento da organização, e portanto, necessárias para sua sobrevivência, estão inclusas no campo de atuação do DPO. O estudo prossegue contemplando na atuação do DPO a possibilidade de agregar no seu campo de atuação o exercício de outras atividades, sempre que estas forem essenciais às operações de tratamento desempenhadas pela organização para o desenvolvimento de sua atividade comercial.

Inspirada no GDPR, a LGPD incorporou, de forma substancial, as atividades do DPO previstas no regulamento europeu. Com isso, em âmbito nacional o DPO será responsável por (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, (ii) receber comunicações da autoridade nacional e adotar providências, (iii) orientar os representantes da organização a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pela organização ou estabelecidas em normas complementares. 13

Apesar das evidentes semelhanças entre a LGPD e o GDPR, os diplomas normativos apresentam diferenças 14 relevantes no escopo da atuação do DPO. Dentre as diferenças existentes, importa para o objeto deste estudo discorrer apenas sobre as duas diferenças encontradas no caráter obrigatório da indicação do DPO porquanto interfere na amplitude do da execução do escopo de sua atuação.

Uma das diferenças consiste na obrigatoriedade expressa da indicação do DPO, tanto para controladores 15 quanto para operadores 16 , imposta pelo GDPR. Por outro lado, para o legislador brasileiro a obrigatoriedade 17 dessa indicação é expressa apenas para o controlador. A outra diferença reside nas hipóteses das situações que invocam obrigatoriedade da indicação do DPO. Enquanto o GDPR impõe o caráter obrigatório 18 da indicação do profissional, independentemente de sua classificação da organização como controladora ou operadora, na ocorrência de …

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
15 de Agosto de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548778/data-protection-officer-encarregado-teoria-e-pratica-de-acordo-com-a-lgpd-e-o-gdpr-gestao-de-terceiros-data-protection-officer-encarregado-ed-2020