Apostila Módulo III

Prévia do material em texto

Curso para Coordenador de 
Proteção de Dados Pessoais - DPO 
 
São Paulo 2021 
Fenabrave – Federação Nacional da Distribuição de Veículos Automotores 
Professor Alexandre Rodrigues Atheniense 
Curso 3 – Formação de encarregado pelo 
tratamento de dados / Data Protection Officer 
(DPO) 
 
Alexandre Rodrigues Atheniense é advogado formado pela 
Universidade Federal de Minas Gerais (UFMG), especialista em Internet 
Law pelo Berkman Center – Harvard Law School – e sócio fundador do 
escritório de advocacia Alexandre Atheniense Advogados. Com 
experiência profissional de 32 anos, é um dos precursores do Direito 
Digital no Brasil. Possui vasta experiência acadêmica e institucional, 
tendo exercido por oito anos (2002-2010) a presidência da Comissão 
de Tecnologia da Informação da OAB Federal, representando a 
entidade na discussão de projetos de lei no Congresso Nacional sobre 
temas relacionados à tecnologia da informação. É coordenador da 
Comissão de Direito Digital do Centro de Estudos das Sociedade de 
Advogados (CESA); árbitro em questões relacionadas à propriedade 
intelectual e tecnologia da informação na Competição Brasileira de 
Arbitragem (CAMARB), Câmara Mineira de Arbitragem (CAMINAS) e 
Associação Brasileira da Propriedade Intelectual (ABPI). É autor de 
diversas obras sobre Direito Digital no Brasil e no exterior. 
Colaboradores: Lorenzzo Antonini Itabaiana e Adriana Bessone Sadi 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Sumário 
 
Apresentação 
 
1. Formação e certificação do DPO 
 
1.1. Visão panorâmica da função no mundo 
 
1.2. Certificações e empresas certificadoras 
 
2. Atribuições e funções do DPO 
 
 2.1. Características 
 
2.2. Perfil 
 
2.3. Incumbências 
 
2.4. Ética e responsabilidades 
 
3. Ferramentas tecnológicas a serviço do DPO 
 
4. DPO e manutenção de registros de tratamento de dados 
pessoais – accountability 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Apresentação 
 
 
O curso Formação de encarregado pelo tratamento de dados / 
Data Protection Officer (DPO) compõe o módulo 3 do curso 
Formação de Encarregados de Proteção de Dados Pessoais (DPO), 
oferecido pela Fenabrave em cinco partes distintas e independentes. O 
objetivo geral é capacitar os envolvidos no processo de tratamento 
desses dados, por meio de conteúdo teórico e prático, preparando-os 
para o desafio da jornada de governança corporativa. 
Neste curso, apresentam-se tópicos importantes para melhor 
compreensão da função e do perfil do encarregado pelo tratamento de 
dados pessoais. 
Os participantes devem assistir às aulas gravadas em vídeo, ler o 
conteúdo explicitado na apostila e ouvir o podcast disponível. 
Sugerimos, ainda, que consultem fontes indicadas na bibliografia 
constante no final deste material. Na sequência, devem responder ao 
questionário de avaliação, que permite a revisão dos principais pontos 
abordados. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Formação e certificação do 
DPO 
 
 
 
 
 
 
1. Formação e certificação do DPO 
 
A função do encarregado pelo tratamento de dados pessoais ainda não 
é bem compreendida por grande parte das organizações brasileiras, já 
que o cargo representa inovação recente trazida pela Lei Geral de 
Proteção de Dados Pessoais (LGPD). As instituições não definem 
claramente um perfil para o posto, já que a Lei não o previu, e a 
orientação legal só deve ser suprida com a regulamentação emitida 
pela Autoridade Nacional de Proteção de Dados (ANPD). 
 
Assim, na maioria dos casos, é evidente a dificuldade na nomeação do 
DPO, uma vez que o ofício exige dele multidisciplinaridade e 
conhecimento jurídico-regulatório mais profundo do que o oferecido 
pelos profissionais encontrados atualmente no mercado. De modo 
geral, estes não possuem capacitação suficiente para exercer o serviço, 
que os permita avaliar com extremo rigor potenciais conflitos de 
interesse. 
 
1.1. Visão panorâmica da função no mundo 
 
Na América Latina, vários países têm legislação avançada sobre 
proteção de dados pessoais, como Argentina, México, Chile e Uruguai 
– este último com lei sobre o tema há mais de dez anos. Somente com 
a entrada em vigor da General Data Protection Regulation (GPDR), tais 
nações incluíram a figura do DPO em seus ordenamentos jurídicos e já 
contam com seus delegados de protección de datos, cujas funções se 
assemelham às do encarregado no Brasil. 
Na América do Norte, Canadá e Estados Unidos adotam legislação 
esparsa e não contam com norma única e geral, como as que são 
adotadas pelo Brasil e pela União Europeia. Os Estados Unidos têm leis 
setoriais, tais como a Lei de Privacidade de Comunicações Eletrônicas 
 
de 1986; a Lei de Privacidade de 1974 e o California Consumer Privacy 
Act (CCPA), no estado da Califórnia. Aliás, somente este último tem 
legislação específica voltada para o tema, mas não apresenta 
obrigações relativas à nomeação de um responsável pelo tratamento 
de informações pessoais, cabendo às empresas o cumprimento de 
requisições dos titulares desses dados. 
Na Ásia, um dos maiores centros de tecnologia e inovação do mundo, 
Japão e Coreia do Sul despontam como países interessados em editar 
legislação sobre a matéria. No Japão, a Comissão de Proteção de 
Informações Pessoais – órgão similar à Autoridade Nacional de 
Proteção de Dados Pessoais brasileira – determina que os 
controladores devem nomear um encarregado de proteção de dados, 
sem, contudo, estabelecer ou recomendar as atribuições do cargo. A 
Coreia do Sul tem legislação similar à LGPD e à GDPR, que inclui a 
obrigação de nomeação do DPO (na Coreia, Privacy Officer). 
A China apresenta-se como um caso especial, pois, apesar de ser um 
polo tecnológico e industrial, não tem legislação para proteção de 
dados de seus cidadãos. Dessa forma, não há obrigação no país de se 
nomear um DPO. 
A União Europeia tem sido referência mundial no assunto, desde a 
edição da Diretiva 95/46/CE até a publicação da GPDR. Ainda que o 
encarregado de proteção de dados europeu em muito se assemelhe ao 
que se prevê no Brasil, a legislação europeia é bastante específica 
quanto aos requisitos, às atribuições e às habilidades desse 
profissional, que deve apresentar: 
1. conhecimento jurídico-regulatório e independência; 
 
2. experiência com liderança e gestão, bem como capacidade 
para lidar com os recursos necessários à execução da função; 
 
3. capacidade de se expressar, com linguagem comum e 
acessível, que lhe permita atuar como canal de comunicação 
entre instituições, autoridades e titulares de dados pessoais; 
 
4. experiência relevante em privacidade e assessments de riscos 
de segurança, e também conhecimento das melhores práticas de 
mitigação, selos, certificações de privacidade e padrão de 
segurança da informação. 
 
Embora a legislação brasileira não estabeleça, ainda, os requisitos para 
o cargo de DPO, é essencial que ele tenha experiência em privacidade 
e assessments de riscos de segurança. 
 
1.2. Certificações e empresas certificadoras 
 
Considerando-se as diversas habilidades exigidas para a função de 
encarregado pelo tratamento de dados e a dificuldade em encontrar 
profissionais com tais características, alguns processos de certificação 
foram criados para garantir, minimamente, que o DPO apresente as 
qualidades necessárias para o desempenho de suas atividades. No 
âmbito da GDPR, surgem diversos cursos e procedimentos de 
certificação oferecidos por universidades e instituições privadas. 
 
No Brasil, a ANPD ainda não se manifestou sobre a criação de 
autoridades oficiais de certificação, já que a atuação do DPO não está 
regulamentada. Mas existem instituições independentes, conhecidas 
mundialmente, com processos autônomos. Entre elas, temos o 
instituto EXIN, que atua desde 1984, e a International Association of 
Privacy Professionals (IAPP),fundada em 2000 e considerada 
mundialmente a maior comunidade independente sobre o tema. Além 
dessas, destacam-se as ISOs: 
 
 
 
ISO 27001 – Padrão internacional de segurança da Informação 
 
 
ISO 27701 – Atualização da ISO 27001 
 
 
EXIN – Privacy and Data Protection Essentials / Privacy and Data 
Protection Foundation / Privacy and Data Protection Practitioner 
 
 
IAPP – Certified Information Privacy Manager (CIPM) 
 
 
 
 
IAPP – Certified Information Privacy Tecnologist (CIPT) 
 
Apesar de não ter um processo de certificação específico para a LGPD 
e de apresentar todas as modalidades de testes em inglês, a IAPP se 
sobressai quando o assunto é privacidade e proteção de dados 
pessoais, exigindo criteriosa preparação por meio de testes difíceis. 
 
Também é importante demonstrar as melhores referências acadêmicas 
para cada segmento de mercado, de acordo com importante pesquisa 
realizada por Alvarez & Marçal (2020): 
 
 
Fonte: Alvarez & Marsal (2020, p. 7) 
 
Como podemos notar, no setor automotivo a GDPR e a nova ISO 27701 
são as referências mais utilizadas. Esta última estabelece as diretrizes 
para a implementação de um programa de privacidade, relacionando-
se com outras normas da família 27000, que fornecem suporte para 
implementação da conformidade. 
 
Reiteramos, por fim, que a ANPD ainda não regulamentou a atuação 
do DPO no Brasil, o que deve ocorrer ao longo de 2021. Certamente, 
haverá impacto no conteúdo dos cursos ofertados. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Atribuições e funções do 
DPO 
 
 
 
 
 
 
2. Atribuições e funções do DPO 
 
2.1. Características 
 
A definição de encarregado está no Artigo 5, inciso VIII, da LGPD: 
“pessoa indicada pelo controlador e operador para atuar como canal 
de comunicação entre o controlador, os titulares de dados e a 
Autoridade Nacional de Proteção de Dados (ANPD)”. Ele pode ser 
representado por pessoa física, pessoa jurídica, entidades 
terceirizadas, comitês, departamentos, entre outros. 
 
A nomeação do DPO – que deve ser publicada – é obrigatória para 
pessoas naturais, empresas e poder público que tratem dados 
pessoais. A escolha desse profissional deve ser realizada com base nas 
principais características exigidas para a função: sua experiência, seus 
conhecimentos, suas habilidades e suas credenciais para o cargo. 
Evidentemente, devem ser avaliadas sua integridade e ética 
profissional, garantindo-se sua imparcialidade. 
 
O DPO deve ser um profissional interdisciplinar, que, além de ter amplo 
conhecimento das legislações (inclusive daquelas específicas do seu 
setor), deve ter habilidades associadas à governança de dados; 
domínio do conceito básico de segurança da informação e considerável 
capacidade de comunicação interpessoal. 
 
2.2. Perfil 
 
Apesar da indefinição do perfil legal do DPO, anteriormente a legislação 
apontava, principalmente, para a necessidade de conhecimento 
jurídico-regulatório, inclusive aptidão para prestar serviços 
especializados em proteção de dados pessoais – disposição que foi 
vetada, por ser contrária ao interesse público. 
 
 
Na ausência de regulamentação específica, as organizações devem 
observar, no mínimo, se o profissional tem conhecimento e habilidade 
suficientes para exercer o previsto no Artigo 41, parágrafo 2, da LGPD: 
 
I. aceitar reclamações e comunicações dos titulares, prestar 
esclarecimentos e adotar providências; 
 
II. receber comunicações da Autoridade Nacional e adotar 
providências; 
 
III. orientar os funcionários e os contratados da entidade a 
respeito das práticas a serem tomadas em relação à proteção de 
dados pessoais; 
 
IV. executar as demais atribuições determinadas pelo 
controlador ou estabelecidas em normas complementares. 
 
Entre as competências desejáveis, destacam-se: 
 
● conhecimento jurídico-regulatório: recomenda-se que o DPO 
seja detentor desse conhecimento, sem exigência de formação 
superior em curso de Direito, mas o nível mínimo de sua 
qualificação profissional deve ser técnico; 
 
● capacidade de atuar como relações públicas/governamentais: 
em razão de sua atuação como canal de comunicação com os 
titulares e a ANPD, o DPO deve, obrigatoriamente, ter habilidade 
para se posicionar em nome da empresa perante terceiros. Deve 
também conhecer estratégias de comunicação interpessoal, para 
que possa interagir adequadamente com colaboradores, corpo 
diretivo, acionistas, órgãos fiscalizadores e demais stakeholders; 
 
● gerenciamento de riscos e tecnologia da informação: ele deve 
ser capaz de identificar riscos associados a operações de 
tratamento e apresentar conhecimentos razoáveis sobre 
tecnologias da informação, para indicar ferramentas adequadas 
na implementação de controles de segurança com foco na 
mitigação de riscos de acessos indevidos, vazamentos, 
tratamento abusivo, entre outros. É essencial, ainda, que 
conheça processos de segurança da informação, com base em 
padrões e frameworks reconhecidos, tais como a ISO/EC 27701 
e o National Institute of Standards and Technology (NIST); 
 
● boa comunicação, capacidade de liderança e independência: o 
DPO, como longa manus, ou seja, como braço estendido do corpo 
diretivo da empresa, deve interagir livremente com membros da 
instituição que tenham poder decisório e também com membros 
de todos os níveis hierárquicos, para que a tomada de decisões 
seja ágil e eficiente; 
 
● perfil de educador/conscientizador: ele deve ser capaz de 
transmitir didaticamente seus conhecimentos, de modo que seus 
interlocutores entendam a relevância do tema e tenham 
interesse em cumprir as regras existentes, inclusive propagando-
as. Em outras palavras, ele deve desenvolver um talento para 
ser educador e conscientizador; 
 
● conhecimento de auditoria e proatividade: o DPO deve ser fiscal 
da conformidade da LGPD e das demais normas de proteção de 
dados aplicáveis, preservando sempre sua independência na 
obtenção de informações necessárias para execução de seu 
trabalho. 
 
 
A empresa Alvarez & Marçal (2020) apresenta o perfil do DPO requerido 
em diversos segmentos do mercado: 
 
 
Fonte: Alvarez & Marsal (2020, p. 7) 
 
O setor automotivo opta por um profissional da área jurídica, já que 
está sujeito a alta regulamentação. 
 
Salientamos que a adequação à LGPD ultrapassa a adoção de medidas 
técnicas, exigindo interpretação e aplicação de preceitos contidos em 
diversas normas. Destacamos também o fato de que a atuação 
contenciosa administrativa é regida por lei federal, e a defesa da 
 
instituição perante instâncias administrativas sempre se realizará por 
meio de advogado. 
 
Embora não seja recomendável o acúmulo da função de DPO com 
funções inerentes a profissionais do Direito, um conhecimento jurídico 
mais aprofundado é um diferencial importante. Porém, para além de 
uma avaliação de leis e normas, outras incumbências são exigidas 
desse profissional. 
 
2.3. Incumbências 
 
Entre as incumbências do DPO, está a necessidade de prestar 
informações para um titular de dados, avaliando-se a legalidade ou a 
ilegalidade de determinado tratamento, bem como a possibilidade de 
atender a um pedido do titular. Um ex-funcionário de uma 
concessionária pode exigir, por exemplo, que lhe sejam informados 
quais dados pessoais são tratados pela empresa. Tal informação deve 
constar no mapeamento de dados pessoais (data mapping), elaborado 
durante o processo de adequação à LGPD. 
 
O mesmo ex-funcionário pode exigir a remoção de todos os seus dados 
pessoais das plataformas da instituição, o que somente será possível 
com a análise da base legal envolvida no tratamento. Deve ser 
elaborado um relatório a partir desse levantamento, também 
conhecido como gap analysis ou relatório de lacunas. No processode 
análise, o DPO poderá atender ou não o pedido do titular, justificando, 
entre outras possibilidades, que os dados referentes à contribuição 
previdenciária devem ser armazenados pelo período estipulado na Lei 
e, desse modo, a remoção das informações não poderá ser realizada. 
 
 
A comunicação com a ANPD e com os demais órgãos fiscalizadores 
também é função do DPO, mas isso ainda é um desafio, já que não há 
regulamentação sobre o formato dessa interlocução. 
 
Conforme dispõe o Artigo 55-K da LGPD, a aplicação das sanções 
previstas na Lei compete exclusivamente à ANPD, e suas competências 
prevalecerão sobre as competências correlatas de outras entidades ou 
órgãos da administração pública, no que se refere à proteção de dados 
pessoais. Assim, em princípio, somente a ANPD teria competência para 
interpretar e aplicar as sanções previstas na LGPD. Entretanto, se a 
violação de dados pessoais resultar de uma relação de consumo, 
também será lícito ao Programa de Proteção e Defesa do Consumidor 
(PROCON) e ao Ministério Público intervir, caso em que o encarregado 
deve atuar, de igual maneira, como canal de comunicação com esses 
órgãos. 
 
A orientação a colaboradores e contratados da organização quanto às 
práticas de proteção de dados pessoais também é tarefa do DPO. Além 
disso, ele deve cumprir atribuições secundárias, tais como formular 
regras de boas práticas de governança, avaliar as reclamações e 
petições dos titulares, auxiliar na elaboração de normas de segurança 
e padrões técnicos, definir obrigações específicas para todos os 
agentes envolvidos no tratamento, exercer ações educativas, propor 
mecanismos internos de supervisão e de mitigação de riscos e executar 
outras atividades determinadas pelo controlador ou estabelecidas em 
normas complementares. 
 
2.4. Ética e responsabilidades 
 
Junto com as habilidades mencionadas acima, o encarregado deve 
apresentar credenciais de integridade e um elevado nível de ética 
 
profissional, além de total independência para que se evitem conflitos 
de interesses. 
 
Enfatizamos que o DPO é o pilar da governança, da privacidade e da 
proteção de dados em organizações que buscam conformidade com a 
LGPD. Nesse prisma, deve se portar como verdadeiro fiscal da Lei e 
também de outras normas de proteção de dados pessoais, além de 
proteger as políticas institucionais internas. Assim, caso o vendedor de 
uma concessionária, responsável pela coleta dos dados de clientes, 
negociasse a transferência das informações para terceiros, a análise 
da legalidade desse tratamento estaria prejudicada e, então, esse 
funcionário jamais poderia ser um DPO. 
 
De acordo com orientações do Grupo de Trabalho de Proteção de Dados 
do Artigo 29 (GRUPO DO ARTIGO 29º PARA PROTEÇÃO DE DADOS, 
2017), pode haver conflito de interesses nas seguintes situações: 
 
● quando o encarregado pelo tratamento de dados pessoais 
ocupar cargos superiores de gestão (na diretoria executiva ou de 
operações; no setor financeiro; no departamento médico; no 
setor de marketing, recursos humanos ou informática etc.); 
 
● quando o colaborador, mesmo não ocupando cargo superior de 
gestão, possuir outras funções que determinem a finalidade e os 
meios de tratamento; 
 
● quando um DPO as a service representar o controlador ou o 
operador em processos envolvendo a proteção de dados 
pessoais. 
 
 
 
O Grupo sugere, portanto, que os responsáveis pelo tratamento de 
dados ou os subcontratantes: 
 
● aprovem normas internas no intuito de evitar conflitos de 
interesses; 
 
● incluam explicação mais generalizada sobre esses conflitos; 
 
● declarem que os encarregados não têm conflitos de interesses 
no que se refere às funções exercidas; 
 
● incluam salvaguardas no regulamento interno da empresa e 
assegurem que o anúncio de vaga para o preenchimento da 
função de DPO ou o contrato de prestação de serviços seja 
suficientemente preciso e pormenorizado, para evitar conflitos de 
interesses. Nesse contexto, importa considerar que os conflitos 
podem assumir formas diferentes, em razão do vínculo laboral 
do DPO como colaborador interno ou externo. 
 
As medidas apontadas pelo Grupo do Artigo 29 são baseadas na 
legislação europeia, não constituindo, ainda, obrigações legais. 
Todavia, podem ser consideradas boas práticas de governança. 
Destacamos que o Grupo lidou com questões relacionadas à proteção 
de dados pessoais e da privacidade até 25 de maio de 2018 – data de 
aplicação do Regulamento Geral de Proteção de Dados – RGPD. 
 
No Brasil, a LGPD preceitua que a ANPD poderá estabelecer normas 
complementares sobre a definição e as atribuições do encarregado, 
inclusive dispensar a sua indicação, com base na natureza e no porte 
da entidade ou no volume de operações de tratamento de dados. 
 
 
O DPO não responde, diretamente, por danos patrimoniais ou morais, 
individuais ou coletivos causados por violação à Lei. Normalmente, 
esse ônus recai sobre os controladores e operadores, pois o tratamento 
de dados pessoais está englobado no risco do negócio. Porém, se ele 
cometer ato ilícito, por ação ou omissão voluntária, negligência ou 
imprudência; se exceder os limites do cargo que ocupa, poderá ser 
responsabilizado perante a instituição, de acordo com o Código Civil. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Ferramentas tecnológicas 
a serviço do DPO 
 
3. Ferramentas tecnológicas a serviço do DPO 
 
A evolução tecnológica, apesar dos grandes desafios que normalmente 
a acompanham, é uma imprescindível aliada do DPO e dos profissionais 
que atuam na área de privacidade, auxiliando-os a visualizar e mitigar 
riscos. Contudo, a jornada de adequação das organizações à LGPD não 
se resume à adoção de um ou outro software. 
 
Algumas ferramentas, por mais avançadas que sejam, não conseguem 
interpretar normas, critérios e procedimentos, limitando-se à execução 
de rotinas predeterminadas. No entanto, se bem escolhidas e 
customizadas, tornam-se, como dissemos, poderosas aliadas do 
encarregado, permitindo-lhes um gerenciamento automatizado de 
importantes fases do tratamento de dados pessoais: coleta das 
informações, gestão do consentimento, exclusão dos dados. 
 
Na empresa, o DPO deve iniciar sua análise pelo levantamento dos 
softwares que tratam dados pessoais. Salientamos que o controle da 
conformidade legal às obrigações descritas na LGPD deve recair apenas 
sobre os softwares que tratam esses dados: cadastro, 
compartilhamento, planilhamento etc. Programas que tratam dados 
corporativos no que se refere a segurança da informação, sigilo 
industrial etc. devem ser excluídos. 
 
Após a identificação dos softwares, ele deve avaliar se as empresas 
desenvolvedoras estão em conformidade com a LGPD, possibilitando a 
geração de registros eletrônicos que lhe permitam realizar o 
gerenciamento das atividades de tratamento de dados pessoais. Se 
necessário, ele deve exigir dessas empresas um aprimoramento da 
ferramenta, para acesso aos logs de operações com fornecimento de 
toda a trilha de auditoria. Assim, em caso de incidentes, a informação 
 
será disponibilizada de maneira detalhada e segura, mediante rápido 
acesso. 
 
Os logs, que devem ser disponibilizados a partir da integração de todos 
os softwares, permitirão ao encarregado avaliar quais dados pessoais 
estão sendo tratados, em quais fluxos e com quais finalidades, para 
um preciso e rápido atendimento de eventuais solicitações dos 
titulares. 
 
Lembramos que uma das exigências da Lei e um dos principais direitos 
dos titulares é a correção de dados incompletos, inexatos ou 
desatualizados de modo rápido e seguro. Não há como o DPO realizar 
essa tarefa em cada um dos softwares, daí a importância da 
sincronicidade dos programas. 
 
Outra exigência legal diz respeito à anonimização dos dados, que 
impede a identificaçãoda pessoa, pela utilização de meios técnicos 
razoáveis e disponíveis na ocasião de seu tratamento. Então, se uma 
instituição possui um repositório com vários dados pessoais que não 
são mais interessantes, mas poderiam ainda gerar conhecimento 
estatístico para tomada de decisões mais assertivas, a LGPD permite a 
anonimização das informações. A automação desse processo gera 
maior segurança ao DPO se for efetivada de forma sistêmica e não 
manual. Afinal, esta última está mais sujeita a erro humano. 
 
A Lei também garante o direito de portabilidade dos dados pessoais, 
permitindo a um titular transportar seus dados de um controlador para 
outro, preferencialmente no padrão .csv (comma-separated values), 
que remete a arquivos de valores separados por vírgulas, comumente 
utilizados em softwares Office, tais como o Microsoft Excel e o 
LibreOffice. Nesse caso, o software utilizado deve possibilitar essa 
atividade, evitando a realização manual em planilhas Excel, na qual a 
 
manutenção e atualização dos registros de tratamento de dados 
pessoais é inviável. 
 
Hoje, no mercado, existem diversos tipos de softwares que podem 
estruturar informações, e a escolha por um deles deve ser feita, em 
princípio, de acordo com o porte da organização. Uma instituição 
educacional de grande porte, por exemplo, necessita de um programa 
que lhe permita o gerenciamento do consentimento fornecido por 
milhares de titulares, que podem, a qualquer momento, revogá-lo. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
DPO e manutenção de 
registros de tratamento de 
dados pessoais - 
accountability 
 
4. DPO e manutenção de registros de tratamento de 
dados pessoais - accountability 
 
A LGPD incorporou o conceito de accountability, com adoção do 
princípio da responsabilização e prestação de contas, previsto em seu 
Artigo 6, inciso X. O dever de responsabilidade e de prestação de 
contas relaciona-se à demonstração, pelo agente de tratamento, de 
como são conduzidas as atividades referentes aos dados pessoais, não 
apenas por meio da adoção de medidas, mas também pela 
comprovação da sua eficácia. 
 
A obrigação de manter o registro de tratamento dos dados está 
prevista no Artigo 37 da Lei: “o controlador e o operador devem manter 
registro das operações de tratamento de dados pessoais que 
realizarem, especialmente quando baseado no legítimo interesse”. 
Essa obrigação deve ser invocada sempre que for identificada 
resistência no registro das atividades de tratamento de dados por 
qualquer parte envolvida na operação. Reforçamos que essa 
providência é imposta pelo princípio da responsabilização e da 
prestação de contas ou accountability, previsto no art. 6°, inciso X, 
mencionado no parágrafo anterior. 
 
Cabe, portanto, ao DPO promover, obrigatoriamente, o registro de 
todas as decisões efetivadas pelos controladores e operadores, 
identificando o fluxo das atividades de ponta a ponta, de acordo com o 
ciclo de vida do dado pessoal, ao mesmo tempo em que o mantém 
atualizado. Logo, qualquer mudança operacional necessária deve ser 
previamente comunicada ao encarregado, para que, antes de ser 
registrada, seja validada e aprovada em conformidade com os 
preceitos da LGPD. 
 
 
O DPO deve, então, proceder à auditoria desses processos para avaliar 
se algum procedimento foi alterado sem sua ciência. Aliás, é praxe 
incluir nos contratos a obrigação de comunicar previamente ao 
encarregado qualquer mudança na forma de tratamento dos dados 
pessoais, bem como a possibilidade da realização de auditorias. 
 
Como já foi observado, no caso de eventual fiscalização por parte da 
ANPD ou de requisição de dados pessoais por uma pessoa, o acesso 
imediato, mediante a manutenção desse registro, permitirá uma rápida 
e eficaz prestação de contas, reduzindo os riscos para a instituição. 
 
Lembramos que a manutenção dos fluxos atualizados é possível 
somente por meio de software específico. Como cada fluxo de 
tratamento de dados pessoais deve ter uma base legal correspondente, 
em conformidade com as hipóteses dos Artigos 7 e 11 da Lei, não será 
possível uma análise se o fluxo estiver desatualizado, o que torna a 
instituição vulnerável. 
 
Lembramos que a manutenção dos fluxos atualizados é possível 
somente por meio de software específico. Como cada fluxo de 
tratamento de dados pessoais deve ter uma base legal correspondente, 
em conformidade com as hipóteses dos Artigos 7 e 11 da Lei, não será 
possível uma análise se o fluxo estiver desatualizado, o que torna a 
instituição vulnerável. 
 
O registro e a atualização devem incluir o nome do fluxo, a origem, o 
destino, os dados pessoais envolvidos, os titulares, a base legal 
correspondente, a informação de compartilhamento com terceiros, a 
forma de armazenamento, a forma e o período de descarte e os meios 
de segurança aplicáveis, entre outros aspectos que forem considerados 
relevantes pelo DPO. 
 
 
Nessa perspectiva, o procedimento de data mapping é de suma 
importância, principalmente quando elaborado em um software que 
permite ao DPO gerar relatórios customizados, avaliar métricas e 
padrões de utilização de dados pessoais (data discovery). Reiteramos 
que a otimização do processo por meio de software possibilita uma 
rápida resposta ao titular de dados ou à ANPD, em caso de fiscalização. 
Além disso, viabiliza um plano de ação que orientará a empresa em 
eventual incidente de segurança. 
 
Em um primeiro momento, é sempre esperada certa resistência dos 
parceiros de negócio e dos órgãos diretivos quanto à conformidade, 
mas o programa de governança é atividade contínua e depende da 
colaboração de todos para que o DPO se mantenha informado sobre 
eventuais mudanças. 
 
Alguns departamentos demasiadamente dinâmicos, como o setor de 
tecnologia da informação, sofrem constantes alterações de processos 
e procedimentos. Por isso, pequenos ajustes sistêmicos sem a ciência 
do DPO devem ser evitados, uma vez que o profissional deve avaliar 
se quaisquer modificações – por mais insignificantes que possam 
parecer – representam impacto na proteção de dados pessoais. 
 
As instituições têm demonstrado níveis diversos de maturidade quanto 
à proteção de dados, apresentando lacunas de todos os tipos: em 
algumas o fluxo de atividades é completamente informal e incompleto; 
em outras, existem procedimentos repetidos que geram dados 
duplicados e até há alguns processos mapeados, mas sem total 
cumprimento de aspectos relevantes da LGPD. 
 
Na verdade, ainda que haja mapeamento dos processos, na prática há 
grande informalidade, sendo pouquíssimas as empresas com nível 
gerencial otimizável, que executam revisões periódicas e fornecem 
 
feedbacks em relação à proteção de dados pessoais. O DPO é peça-
chave em organizações que lidem com tais informações e deve 
trabalhar arduamente para aumentar o nível de excelência no 
tratamento desses dados. 
 
 
Bibliografia 
 
ALVAREZ & MARSAL (A&M). Disputes and investigations cyber risk 
services. Nível de maturidade do Mercado Brasileiro para a Lei Geral 
de Proteção de Dados – LGPD. Outubro de 2020. 
 
GRUPO DO ARTIGO 29º PARA A PROTEÇÃO DE DADOS. Orientações 
sobre os encarregados da proteção de dados (EPD). 16/PT. WP 243 
rev.01. p. 19, 2017. 
 
SANCHES, Pedro Nachbar; SANTOS, Tiago F. Campanholi. A formação 
e certificações do DPO. In: Opice Blum, Renato; Vainzof, Rony; Moraes, 
Henrique Fabretti (coords.). Data Protection Officer (Encarregado). 
Teoria e prática de acordo com a LGPD e o GDPR. São Paulo: Thomson 
Reuters Brasil, p. 431-440, 2020. 
 
 
Conteúdo complementar 
 
CURSOS ANTEBELLUM. Entenda as certificações DPO e ISO do EXIN. 
17.09.2018. Disponível em: https://www.youtube.com/watch?v=-
8X4VXQAem8. Acesso em: 20.01.20. 
FERREIRA, Luiz Felipe. Como obter a certificação EXIN Data 
Protection Officer. Canal Clavis – Segurançada Informação. Webinar 
 
#42. 05.05.20. Disponível em: 
https://www.youtube.com/watch?v=CNMwgxp_AH4. Acesso em: 
20.01.21. 
F3M INFORMATION SYSTEM S.A. Software DPO - Data Protection 
Officer. s/d. Disponível em: 
https://www.youtube.com/watch?v=tziuYymZp14. Acesso em: 
20.01.21. 
INTERNATIONAL ASSOCIATION OF PRIVACY PROFESSIONALS (IAPP). 
Privacy certification: CIPM. 29.04.2013. Disponível em: 
https://www.youtube.com/watch?v=zAkNjHuZuHU. Acesso em: 
20.01.21. 
SECURENINJATV. CIPT – Certified Information Privacy Technologist. 
24.06.2016. Disponível em: 
https://www.youtube.com/watch?v=G0h8b6JO7fs. Acesso em: 
20.01.21.