O encarregado de dados, ou DPO (Data Protection Officer em inglês) é um cargo novo que surgiu, no Brasil, junto à Lei Geral de Proteção de Dados. Embora já existisse em outras legislações internacionais, como na GDPR da União Europeia, aqui ele ainda é uma novidade que se impõe desde 2020. Com ele também surge a possibilidade de terceirização, o DPOaaS (DPO as a Service).

Por ser uma figura nova e pela importância que seu papel resguarda, muitas empresas e organizações estão optando pela terceirização dessa atividade. Mas será que isso realmente é uma boa? Quais são os riscos e vantagens em fazê-lo?

Confira as respostas para essas perguntas e conheça melhor o encarregado de dados e suas atribuições conforme determinações presentes na LGPD.

O DPO é uma pessoa física ou jurídica que é estabelecida dentro das Políticas de Proteção de Dados como um dos agentes que atua junto ao tratamento e uso de informações de titulares. Dessa forma, sua atuação é de extrema importância.

Ele pode ser uma pessoa física ou jurídica. Contudo, não pode corresponder a um departamento ou equipe da empresa. Afinal, é preciso que os documentos referentes à captação e tratamento de dados indiquem de forma específica quem se responsabiliza enquanto encarregado.

### Saiba mais sobre as funções de controlador e operador de dados da LGPD

As funções do DPO se revelam na intermediação da relação entre os titulares de dados, o agente de tratamento e, também, a Autoridade Nacional de Proteção de Dados (ANPD).

Ele não necessariamente toma decisões em relação aos dados e ao uso deles. Mas, auxilia no seguimento e cumprimento das diretrizes que são impostas pelo agente de dados e pela Lei Geral de Proteção de Dados. E, aqui, surge outra das atribuições do DPO.

Afinal, ele também tem a responsabilidade de orientar os colaboradores que têm acesso aos dados de terceiros e que os utilizam como devem agir para respeitar as diretrizes da LGPD, bem como os consentimentos que foram concedidos.

### Seu papel é de educar, organizar e auditar de acordo com as normativas da ANPD.

Dentre as principais atividades que um DPO encontra - sendo ele terceirizado ou não - estão:

• Aceitar reclamações dos titulares de dados, prestar esclarecimentos e adotar as providências necessárias;
• Receber comunicações da ANPD e tomar providências;
• Receber as revogações de consentimento ou as alterações no consentimento e dar as devidas providências;
• Garantir a aplicação dos princípios da LGPD referentes ao tratamento de dados pessoais;
• Monitorar a conformidade das organizações em relação à Lei Geral de Proteção de Dados, etc.

Assim, tem-se que o DPO realiza um serviço de meio de campo, pois ele intermedia relações e, ainda, é um dos agentes que se responsabiliza pelo respeito e adequação das ações à LGPD.

Sempre que a empresa ou organização desejar ela pode terceirizar esses serviços. A lei não exige que o encarregado seja um funcionário interno. Aliás, ela sequer exige que seja uma pessoa física que assuma esse papel.

Portanto, qualquer profissional autônomo ou empresa que preste serviços nessa área pode prestar serviços para outras empresas. Assim, estipula-se um contrato de prestação ou terceirização de serviços.

No caso da contratação de uma pessoa externa como DPO as a service, (DPOaaS) toma-se um contrato de prestação de serviços diretamente com o profissional.

Por outro lado, quando há contratação de uma empresa, há uma terceirização de DPO. Quem fica determinado como encarregado, dentro das Políticas de Privacidade, é a pessoa jurídica, então.

Ela concede, desse modo, profissionais que irão realizar os serviços típicos de um DPO. Contudo, eles prestam esse serviço a uma empresa em razão da contratação do seu empregador.

Para saber se vale a pena apostar na terceirização do DPO LGPD é necessário saber quais são as vantagens que isso oferta. Confira as principais delas abaixo.

Primeiramente, é indispensável para a adequação das empresas, organizações e sites à LGPD que eles tenham a determinação clara de quem é o DPO. Atualmente todas as empresas devem ter um, embora existam indícios de limitação da obrigação no futuro.

Nesse sentido, note que nem sempre é fácil contratar alguém que tenha os conhecimentos necessários para essa função ou treiná-lo para que cumpra as atividades do DPO. Por isso, a adequação pode ser mais rápida e fácil pela terceirização de tais serviços.

Uma vez que se encontre um profissional já qualificado, ou até mesmo uma empresa que concentre o conhecimento multidisciplinar para a função, ganha-se muita velocidade no processo de adequação, já que cada empresa e mercado tem a sua especificidade.

Toda nova área e lei pede muito estudo e está sujeita a diversas mudanças no curto prazo. Logo, terceirizar essa função também designa a terceirização da responsabilidade de estar sempre atualizado e investindo na formação dos profissionais.

Funções de guarda e auditoria acabam criando certos atritos com as áreas e até mesmo gestores. É essencial que o DPO tenha autonomia no seu trabalho, e até mesmo estabilidade, algo prescrito pela lei. Afinal, ele não pode ser ameaçado de perder o emprego por fiscalizar processos dentro da empresa. Assim, terceirizar essa responsabilidade por tornar as coisas um pouco mais leve no clima organizacional.

Assim como todo prestador de serviço trabalha com um contrato, a sua substituição é muito mais fácil do que no caso de um funcionário CLT. Logo, o DPOaaS como PJ dará muito mais flexibilidade em caso de necessidade de ajustes ou substituições ao longo do tempo.

Encargos trabalhistas e previdenciários são muito pesados no Brasil, logo a contratação de um PJ para essa função pode servir de acordo reduzindo custos para a empresa e aumentando a remuneração do prestador de serviços.

ATENÇÃO: Vale destacar que todo prestador de serviço, por mais responsável que seja, pela função desempenhada, ainda está embaixo da hierarquia do empregador. Logo, decisões de última instância podem ser levadas à responsabilidade última dos administradores da empresa, mesmo tendo o DPOaaS. Logo, tome cuidado para não se apoiar na terceirização como uma isenção de responsabilidades.

O mesmo acontece quando a empresa não indica um DPO,os administradores assumem automaticamente. Falaremos mais a seguir.

Independente da nomeação, os sócios administradores da empresa também já acumulam essa responsabilidade, a não ser que outra pessoa seja de fato designada.

Contudo, em última instância a responsabilidade sempre cairá sob os sócios administradores. Quando nomeado então, o profissional age em nome da empresa e dos seus representantes diante da autoridade nacional.

### Sabe qual a diferença entre o Mapeamento de Dados e o ROPA na LGPD?

Outro ponto interessante na terceirização do DPO é que desse modo você pode contar com um especialista no assunto. Como dito acima, veja que não é a sua empresa quem se responsabiliza pela capacitação, mas sim a empresa ou profissional contratado.

Com isso é possível garantir ainda mais segurança às operações para que elas se adequem a LGPD e estejam em mãos de experts.

Melhor ainda quando o profissional faz parte de uma rede ou grupo multidisciplinar que pode auxiliá-lo nas peculiaridades do seu negócio e mercado.

As funções, nesse caso, são as mesmas que um encarregado interno teria. Afinal, a terceirização somente se refere à possibilidade de que as atividades sejam realizadas por um agente externo à empresa.

Como vimos acima, então, esse agente pode ser uma pessoa jurídica ou natural. Seja como for, deverá ocorrer a indicação de quem ele é, de forma específica, dentro da Política de Privacidade e demais documentos referentes ao consentimento, uso e tratamento de dados.

Aliás, qualquer alteração referente a quem é o responsável enquanto encarregado de dados LGPD deve refletir em uma alteração das políticas. Em caso contrário, haverá transgressão à Lei Geral de Proteção de Dados e criação de risco de sanções como multas e até suspensão das bases de dados.

Quer saber mais sobre as responsabilidades do Encarregado de Dados, separei esse artigo para você!