Obrigações do DPO - LGPD

Prévia do material em texto

ATRIBUIÇÕES E RESPONSABILIDADES DO DPO/ENCARREGADO DE 
DADOS, CONTROLADOR E PROCESSADOR DE DADOS. 
 
Letícia Botelho 
11.08.2019 
 
RESUMO 
Este texto tem como objetivo que o leitor entenda a função e as 
responsabilidades deste profissional cobiçado pelo mercado desde a aprovação 
da Lei nº 13.709/2018 1, que entra em vigor a partir de agosto de 2020. 
 
O Oficial de Proteção de Dados, ou DPO – Data Protectio Officer, na qualidade 
de operador de dados, por ser fundamental para manter a conformidade com a 
lei, deve ter uma competência sólida e vasta, com especialização em Processos 
e Organização, Sistemas e Aplicativos de TI, bem como Lei de Proteção de 
Dados. 
O artigo 39 da Lei nº 13.709/2018 prevê que o operador de dados deve seguir 
as instruções fornecidas pelo controlador, que verificará a observância das 
próprias instruções e das normas sobre a matéria. Deve, portanto, conhecer e 
dar conhecimento do risco associado às operações de tratamento, tendo em 
conta a natureza, âmbito, contexto e finalidades do tratamento. 
São exemplos de atividades abrangidas por tal responsabilidade, como consta 
no artigo “General Data Protection Regulation”2 controlar as operações e 
auditorias realizadas em relação ao tratamento de proteção de dados pessoais; 
monitorar processos específicos como , aumentar a conscientização dos 
funcionários para proteção de dados e treiná-los adequadamente; 
aconselhamento, se solicitado, quanto à avaliação do impacto e 
 
1 Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm 
2 Disponível em: https://gdpr-info.eu/ 
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
https://gdpr-info.eu/
acompanhamento do desempenho na proteção de dados, além de cooperar com 
a autoridades fiscalizatórias. 
Conforme alerta a IAPP – International Association of Privacy Professionals, no 
artigo “Top 10 Operational Impacts of the GDPR: Part 2 - The mandatory DPO” 
3, o funcionário que atua como Diretor de Proteção de Dados não deve ser 
demitido ou penalizado devido ao cumprimento de suas tarefas. Apesar de sua 
função de monitoramento, a própria empresa continua responsável por cumprir 
as leis de proteção de dados. 
Nesse sentido, a qualificação do DPO se justifica pelas obrigações, quanto ao 
manuseio seguro e adequado de dados, e pelas responsabilidades quanto à 
proteção de dados de todas as operações dentro da empresa. Este profissional 
não apenas ajuda a cumprir os requisitos, mas também atua como intermediário 
no relacionamento entre a empresa, a autoridade supervisora e o titular dos 
dados. Para tal, é essencial autonomia e independência do operador perante a 
empresa, o que é garantido pela não existência de um superior hierárquico, ou 
seja, sem receber regularização de dentro da empresa. 
Inclusive, a partir da leitura dos artigos do GDPR Registrer4,têm-se que a 
nomeação desta função pode ser feita à um empregado existente, na medida 
em que não resulte em conflito de interesses, ou na forma da contratação de um 
serviço terceirizado. De toda forma, o operador de dados não é pessoalmente 
responsável pela conformidade, vez que esta permanece com a empresa. 
Desta forma, o DPO deve aconselhar com base no risco demonstrado, mas cabe 
à empresa – e seus dirigentes, em seguir ou não a solução apresentada. Em 
caso negativo, recomenda-se que as razões sejam documentadas para 
demonstrar eventual responsabilidade. 
Quanto ao conflito de interesses, é ideal que o DPO não participe da decisão de 
quais dados pessoais serão processados, como fazem os Diretores, os Chefes 
de Operações, dos Recursos Humanos, da TI ou de Departamentos Jurídicos. 
 
3 Disponível em: https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-2-the-mandatory-dpo/ 
4 Disponível em: https://www.gdprregister.eu/blog/ 
https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-2-the-mandatory-dpo/
https://www.gdprregister.eu/blog/
O atendimento dos requisitos aqui apresentados é fundamental para evitar 
condutas como a publicação de informações médicas sem prévia autorização, 
dentre outras condutas fora de conformidade, que podem gerar a aplicação de 
multas previstas na Lei de até 20 milhões de euros ou 4% do faturamento global. 
Por fim, não será necessário indicar um DPO à empresa quando as informações 
pessoais não são inteiramente processadas ou são processadas em pequena 
escala, como no caso de empresas em que as principais atividades raramente 
envolvem o monitoramento de dados. 
Caso a empresa decida pela não nomeação deste profissional, mesmo quando 
necessário – como empresas em que as operações de processamento exigem 
uma monitorização regular e sistemática dos dados sujeitos em larga escala, ou 
grande escala de dados de categorias especiais e/ou dados pessoais 
relacionados a condenações e delitos penais estão sendo processados, poderá 
causar a não conformidade.