Como lidar com uma profissão que sequer existia até alguns anos atrás e cuja presença se faz obrigatória, hoje, nas empresas? Essa é justamente a pergunta que se apresenta quando pensamos na figura do Encarregado de Dados ou DPO.

Esse termo, bem como o profissional por trás dele, surgiu com a promulgação das leis de privacidade, no Brasil a Lei Geral de Proteção de Dados - LGPD. Esta, ocorreu em 2018, e entrou em vigor apenas em 2020. Segundo a lei, então ele é o encarregado por garantir o correto tratamento dos dados que a empresa eventualmente use e que pertençam a terceiros.

E essa responsabilidade que a lei atribui sobre a figura profissional do encarregado pode dar a entender que ele é o único e exclusivo responsável pelos cuidados que se aplicam a tais dados. E aí? É isso ou não? O trabalho do Encarregado de Dados é solitário ou deve ser em equipe? Confira tudo isso na sequência.

Sabe aquelas listas em que vemos as “profissões do futuro”? Pois saiba que se por futuro considerássemos 2021, a figura do Encarregado de Dados estaria nessa lista, pois em termos profissionais ela é o que há de mais novo e moderno no mercado.

Afinal, esse cargo sequer existia antes da LGPD, ou da GDPR. A lei criou uma nova profissão. Isso ocorreu a partir do momento em que a Lei Geral de Proteção de Dados estipulou expressamente a existência dessa figura. Ao mesmo tempo, trouxe todas as suas responsabilidades.

O Encarregado de Dados ou DPO (Data Protection Officer) é justamente uma figura que deve controlar e gerenciar o tratamento de dados - ou seja, o uso deles - no dia a dia da empresa. Assim, é ele quem se responsabiliza por garantir que todos os processos, fluxos e ações respeitem os limites amparados pela Base Legal que sustenta o uso daquela dado pela empresa. Assim, em caso de uma consulta da ANPD à empresa, ele é quem deve responder em nome da instituição.

Dentre as responsabilidades do DPO que estão claras na LGPD estão:

• Executar atribuições determinadas pelo Controlador de Dados e nos limites dessa determinação (e, claro, da lei);
• Lidar com as reclamações dos titulares dos dados pessoais;
• Prestar esclarecimentos sobre o uso dos dados aos titulares deles;
• Comunicar-se com os titulares de dados sempre que necessário;
• Tomar as providências para que haja o devido reflexo no uso e captação de dados diante de eventual alteração de consentimento do titular;
• Orientar os demais profissionais que lidem com esses dados e os tratem quanto aos cuidados com a segurança e aos limites de consentimento e aplicação dessas informações.

Aliás, note que por responder às diretrizes do Controlador de Dados, o DPO não se confunde com essa figura. Enquanto o controlador se refere a quem define o modo de tratamento das informações desde a sua entrada até a eliminação delas, o Operador de Dados é quem executa o processo e garante que isso será seguido à risca. Ambos, Controlador e Operador, quando distintos, devem ter os seus DPOs responáveis.

São várias as atribuições que um DPO possui dentro de uma empresa, como vimos acima. E isso não se dá por acaso, afinal os tratamentos de dados impõem limites específicos e requerem atenção e cuidados essenciais.

Nesse sentido, fica claro que o Encarregado de Dados acumula uma série de atividades. Mas, por mais que ele seja capacitado para as suas responsabilidades e esteja em dia com as atividades da empresa que envolvam o tratamento de dados, isso não é suficiente.

_O trabalho isolado do DPO é algo que é impossível de ocorrer. _

Ou melhor, não encontra possibilidades de se desenvolver com a qualidade necessária e com a manutenção da segurança contra vazamentos de dados ou uso deles de forma indevida.

É por isso que quando falamos no trabalho do Encarregado de Dados não podemos entender que suas atividades se dão de forma isolada ou individual. A importância e o número das atribuições fazem com que seu trabalho se dê em equipe.

Para que não haja confusão, entenda: o DPO realmente tem responsabilidade sobre as questões que envolvem o uso de dados. Assim, em caso de acidentes ou problemas que envolvam essas informações, ele estará diretamente envolvido.

Por outro lado, isso não significa, então, que ele deva trabalhar sozinho. Muito pelo contrário! Garantir que os demais colaboradores e equipes se envolvam no cuidado que os tratamentos de dados exigem em razão da LGPD é crucial.

O trabalho do Encarregado de Dados é multidisciplinar. Jurídico, Tecnologia, Marketing, Segurança da Informação, Gestão de Processos, Relações Institucionais,etc. Como é muito difícil que uma pessoa domine todas essas áreas, o auxílio de uma equipe/time de suporte é essencial!

Somente assim se torna possível desenvolver um trabalho em sintonia, que ocorra conjuntamente de forma a garantir o uso correto dos dados. Dessa forma, nada de isolar o seu DPO! O trabalho dele deve acontecer perto dos demais colaboradores e com a assistência destes.

Uma forma de dar ao Encarregado de Dados o apoio do qual ele precisa para desenvolver suas atividades com sucesso é criar um comitê de segurança de dados. Ele, então, deve ser formado por diversos profissionais que representam as equipes da empresa.

Ainda, que representem os principais interesses que entram em jogo quando estamos diante do vazamento ou mau uso de dados. Por isso, deve ter representantes de Recursos Humanos, do setor Jurídico e de Tecnologia da Informação, no mínimo.

Da mesma forma, podem contar, fixamente ou em situações específicas, com representante do time de marketing, bem como dos departamentos de Comunicação, Comercial, Financeiro…

Com isso o DPO encontra possibilidades de, conjuntamente, traçar estratégias, de forma que os representantes de cada um desses departamentos ajudem na implementação delas, bem como no mapeamento dos principais problemas que o tratamento de dados encontra nos mais diversos processos empresariais.

Cada representante age como um braço direto do DPO no seu(s) departamento(s), assim, é importante que haja um bom conhecimento dos processos e autonomia na investigação dos fluxos e detalhes.

Como vimos, o DPO se encarrega por garantir que o uso de dados ocorra de acordo com a base legal que ampara o uso de dados dos usuários e com os limites da LGPD. E, também, em fiel seguimento às determinações do Controlador de Dados.

São inúmeros os tipos de atividades que ocorrem simultaneamente, dentro de uma empresa, que envolvem o tratamento de dados. Considere, nesse sentido, uma venda online. Nesse caso, são colhidos dados de endereço, CPF, telefone e nome completo, que deverão ser usados para:

• Cobrança;
• Geração de nota fiscal;
• Comunicação da conclusão da venda com o próprio cliente;
• Logística de separação e encaminhamento do produto;
• Oferecimento de rastreamento;
• Contato para pós-venda.
• …

E essas são apenas algumas das atividades que requerem dados em um processo de venda. Portanto, é necessário que o Encarregado de Dados conheça esses processos, como eles se dão, os dados que usam, como são armazenados, descatados e outras informações do tipo.

Somente dessa maneira se torna possível saber onde a empresa está acertando e errando no tratamento de dados, bem como traçar estratégias de segurança e garantir que o tratamento de dados se dê dentro dos seus limites e normas.

Ideias e possibilidades não faltam. Mas, para tentar encerrar esse tópico, uma última dica.

Quando o DPO está em contato com as equipes ele também se torna capaz de orientá-las para que, no seu dia a dia, o tratamento de dados ocorra da maneira correta. Isso pode ser feito de diversas formas, como pelo desenvolvimento de um manual, treinamentos, etc.

É crucial que todos que de alguma forma trabalham com o tratamento de dados tenham acesso a tais normas e que saibam exatamente qual é o limite do uso das informações.

Com isso, o trabalho em equipe do Encarregado de Dados não apenas se torna possível, mas, igualmente, traz melhorias efetivas na empresa e a deixa segura frente às diretrizes da LGPD.

Já ouviu falar do ROPA na LGPD, sabe o que é esse documento?

Aqui falamos um pouco mais dele, para te ajudar nos processos de adequação.