Tecnologia

Conheça os desafios do Data Protection Officer, profissão criada pela LGPD

Ausência do encarregado de dados é considerada infração pela legislação. Aplicação das sanções começa em agosto

3 min de leitura
  • Renata Turbiani
Atualizado em
A Lei Geral de Proteção de Dados estabeleceu novos direitos,obrigações e regras para a coleta (Foto: Marcello Casal jr/Agência Brasil)

A falta de um profissional para desempenhar a função de Encarregado de Dados é considerada infração pela LGPD, e empresa poderá receber uma sanção administrativa (Foto: Marcello Casal jr/Agência Brasil)

A entrada em vigor, em setembro do ano passado, da Lei Geral de Proteção de Dados (LGPD), que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, fez surgir uma nova profissão no país: o Encarregado de Dados (ou Data Protection Officer, em inglês). Trata-se do responsável pelo desenvolvimento e a manutenção do programa de conformidade à nova legislação e a adoção de medidas que visem o comprimento das regras por toda a empresa.

"Essa pessoa tem a função de atuar como um canal de comunicação entre os operadores e reguladores, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). É uma posição bastanta estratégica e que merece a atenção das organizações, sobretudo porque a sua nomeação é uma exigência da LGPD", explica a advogada Patricia Peck Pinheiro, presidente do Privacy BR e sócia head de Direito Digital do escritório PG Advogados.

Apesar de tamanha importância dentro da companhia -- e de ser uma obrigatoriedade-, muitas empresas ainda não determinaram quem será o seu DPO. Contudo, se não quiserem ser penalizadas por causa disso, terão de correr, pois a ANPD passará a aplicar as sanções administrativas previstas na lei a partir de 1º de agosto.

As condenações incluem advertência, multa simples ou diária, de até 2% do faturamento e limitada a R$ 50 milhões por infração, bloqueio ou eliminação dos dados pessoais a que se refere a violação e publicação em canais determinados após devidamente apurada e confirmada a sua ocorrência.

Desafios do DPO

Com foco na relevância do Encarregado de Dados e a aproximação da aplicação das sanções da LGPD, o Comitê Privacy BR, que realiza trabalhos com o objetivo de fomentar a discussão sobre a Privacidade e a Proteção de Dados no Brasil e no exterior, promoveu uma pesquisa para saber como está a sua atuação e o que ainda é necessário avançar para favorecer a execução. Participaram 83 executivos das áreas Jurídica e TI de grandes empresas de mais de 20 setores econômicos.

O levantamento indicou três principais desafios na rotina destes profissionais: conscientização da organização e colaboradores sobre a importância da privacidade e proteção de dados pessoais (49,4%), engajamento das demais áreas que dão suporte para as atividades relacionadas ao tema (48,2%) e equipe reduzida (47%).

"Por ser um assunto novo, ainda há uma certa dificuldade em conscientizar e engajar toda a empresa. Mas o DPO precisa de apoio geral, em especial das áreas de RH, Marketing, TI e Jurídico. Além disso, como está nomeado pela lei como função, é normal que se entenda que uma única pessoa resolve o problema, mas, dependendo do tamanho da companhia, é preciso um departamento, uma equipe completa, e isso não tem acontecido", pontua Patricia.

Pelo estudo, em quase metade (45,8%) dos negócios consultados o número de profissionais nessa área não ultrapassa três --e em 25,3% não há apoio da equipe, em 13,3%, são entre quatro e seis colaboradores, em 9,6% são 11 ou mais e, em 6%, são entre sete e dez.  

Outro dado levantado foi o de que a maioria dos profissionais a ocupar a função de Encarregado de Dados no Brasil atua no Jurídico (30%), seguido por Segurança da Informação (16%), TI e SI (12%), Gestão de Projetos (10%), TI (10%) e Compliance (8%). Já entre os setores econômicos que estão mais avançados na contratação do profissional estão Indústria (41%), Financeiro (23%), Tecnologia (15%), Saúde (15%) e Varejo (5%).

Para a advogada, o mercado ainda segue carente de profissionais capacitados para exercer as atividades de privacidade e proteção de dados de maneira a atender a nova regulamentação. Além disso, ela afirma que faltam investimentos das organizações para possibilitar uma reorganização interna que dê condições para efetivar essas práticas. 

"Os escolhidos para a função precisam buscar aperfeiçoamento, através de cursos de especialização e certificação técnica. E a empresa precisa investir mais recursos nele. É uma profissão nova, e que necessita de capacitação e estrutura", pondera.

Patricia destaca que o DPO deve ter alguma experiência ou familiaridade com temas como compliance, leis e regulamentações, comunicação e proteção de dados e segurança da informação. E, segundo ela, o nomeado pode tanto ser alguém que já trabalha na empresa quanto um especialista terceirizado, no formato de “DPO as a service”.

"Tem sido comum a opção por um modelo mais híbrido, ou seja, a instituição nomear alguém interno, que conhece bastante do negócio, e contratar um externo, com expertise nas demais áreas necessárias. Ao conciliar o conhecimento de ambos, se alcança mais equilíbrio, como acontece nas auditorias", completa.

Quer conferir os conteúdos exclusivos de Época NEGÓCIOS? Tenha acesso à versão digital.

Quer receber as notícias de Época NEGÓCIOS pelo WhatsApp? Clique neste link, cadastre o número na lista de contatos e nos mande uma mensagem. Para cancelar, basta pedir. Ou, se preferir, receba pelo Telegram. É só clicar neste link.