DPO: quem será o encarregado pela LGPD nas empresas?

Profissionais de TI, do departamento jurídico e de relações institucionais são os mais cotados para acumularem a função de Data Protection Officer

Sergio Lozinsky

12/09/2019

“A melhor maneira de prever o futuro é criá-lo”

Peter Drucker, escritor, professor e consultor considerado o pai da administração moderna

 

Os desafios para adequação à Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020 no Brasil, não são exclusivos da gestão de TI. O departamento de recursos humanos também deve se preocupar, já que a legislação criou um cargo novo nas empresas que trabalham com coleta, armazenamento e tratamento de dados: o Data Protection Officer, ou, para simplificar, DPO. Embora a função possa ser ocupada por um prestador de serviços terceirizado, empresas tendem a voltar os olhos para dentro de casa em busca do perfil ideal para cumprir a função.

 

A primeira figura que tende a vir à mente dos líderes para a escolha do DPO é o responsável pelo departamento jurídico. Afinal, estamos falando de uma lei — e quem melhor que um profissional do Direito para compreender os meandros das legislações brasileiras?

 

Há, ainda, os que atribuem ao líder de TI a melhor capacitação para o cargo. Ele está familiarizado com as ferramentas que coletam e armazenam os dados, assim como com aquelas que garantem a segurança da informação.

Embora a função possa ser ocupada por um prestador de serviços terceirizado, empresas tendem a voltar os olhos para dentro de casa em busca do perfil ideal

Outro profissional cogitado para ocupar (ou talvez, acumular) a função é o de relações institucionais. Ele reúne habilidades de comunicação fundamentais para traduzir e endereçar qualquer crise. É provável, ainda, que em algum momento já tenha entrado em contato com inúmeros dos agentes com os quais o DPO terá de se relacionar — do proprietário do dado ao poder público.

 

Independentemente para onde a liderança vai voltar seu olhar, é necessário, primeiro, entender o que fará o DPO. Esse profissional – que pode alcançar o status de C-Level – será responsável por representar a empresa diante da Autoridade Nacional de Proteção de Dados, sendo, portanto, o principal encarregado pelo monitoramento e cumprimento da proteção de dados pessoais. Ele terá, muitas vezes, o papel de intermediador de interesses, trabalhando com pautas que são do interesse dos titulares dos dados e, também, das autoridades — tudo isso com um olhar crítico em relação ao negócio.

 

Trata-se, portanto, de um cargo estratégico. E, como tal, precisa dominar os processos de tratamento de dados e, ao mesmo tempo, conhecer muito bem o negócio para entender de que forma ele será impactado pelas mudanças exigidas para se adequar à LGPD. Ele deve ter uma visão completa e holística do funcionamento da empresa, incluindo seus principais processos, em quais deles se encontram os pontos sensíveis relacionados ao tratamento de dados e, ainda, identificar quais são os dados que realmente precisam ser coletados para que a empresa mantenha sua operação e saúde financeira. Até porque a lei prevê o que se chama de “tratamento legítimo de dados” — o que significa que não se pode mais coletar agora e decidir depois o que fazer com a informação. A motivação precisa estar clara para o titular do dado — que deve, inclusive, autorizar o uso exclusivamente para esse fim.

O DPO – que pode alcançar o status de C-Level – será responsável por representar a empresa diante da Autoridade Nacional de Proteção de Dados

O DPO deverá, ainda, estar apto para esclarecer todas as etapas do plano de segurança de dados da corporação em caso de eventuais vazamentos. Esse é um dos aspectos avaliados pela autoridade nacional para determinar o valor da multa: o que a empresa fez, de fato, para proteger seus dados? E embora a sanção presidencial de julho de 2019 (Lei 13.853/2019) tenha anulado a possibilidade de interrupção parcial e também da proibição parcial ou total do funcionamento do banco de dados, a preocupação com as multas ainda é factível, pois elas podem alcançar 2% do faturamento bruto, com teto de R$ 50 milhões.

 

A escolha do profissional que irá se tornar o DPO, por si só, já é complexa. Mas há, ainda, a possibilidade de que o perfil ideal não seja identificado entre os colaboradores da empresa — o que exigirá ou que se invista em formação, ou que se busque alguém no mercado. No primeiro caso, considero que um prazo de até um ano possa ser requerido para capacitar o profissional — o que significa começar essa formação agora. O fundamental aqui é que ele seja figura ativa no projeto de aderência à lei. Com essa participação, ficará por dentro de tudo o que é necessário saber para executar a função.

 

Caso, porém, a empresa perca o timing, caberá voltar os olhos para fora e buscar no mercado o seu DPO — algo que, na minha visão, não aconteceu ainda porque os fornecedores também estão em processo de amadurecimento em relação à função. A partir de agosto de 2020, com essa maturação finalizada, os serviços estarão à disposição. E esse investimento, então, será obrigatório para quem não estiver preparado.