O segundo artigo da série teria o propósito de trazer linhas sobre os próximos passos a serem dados rumo à implantação de um projeto de conformidade em segurança/proteção de dados.
Antes de avançar, porém, entendemos ser mais importante pontuar sobre a importância (e as nuances) do papel do encarregado (ou, na sigla em inglês, DPO – Data Protection Officer). Ele é peça chave para que os resultados sejam efetivos.
Hoje, da forma como a legislação se apresenta, as empresas que tratam dados (em linhas gerais, todas, conforme já apontado em artigo anterior), precisam indicar uma pessoa ou comissão responsável para fazer a ponte entre elas, os titulares dos dados e, eventualmente, a Autoridade Nacional de Proteção de Dados (ANPD).
Para além disso, o DPO é responsável por garantir evidências acerca da implantação do projeto de proteção de dados. Esta atribuição não pode – nem deve – ser confundida com a responsabilidade acerca do sucesso da empreitada: ele deve garantir que o desenho seja concretizado, mediante o registro dos treinamentos com a equipe de colaboradores, por exemplo.
É ele também que deve conhecer, com riqueza de detalhes, os processos internos da organização tratadora de dados. Como é incumbido de responder a demandas dos titulares e da ANPD, é imprescindível que possa reagir rapidamente em situações críticas – e isso só se consegue com essa intimidade (pré-existente) operacional.
Isso significa dizer que o DPO deve ser uma pessoa física vinculada diretamente à empresa (empregado, por exemplo)? Não. A legislação não limitou a atuação desta forma; tanto é que permite, inclusive, que as tarefas sejam desenvolvidas por pessoa jurídica contratada especificamente para este fim.
Para otimizar, aqui vão, as cinco dicas de ouro para a contratação de um DPO (o encarregado na LGPD)
- todas as empresas que tratam dados – isso é, as controladoras – devem apontar de forma clara a pessoa (física ou jurídica) responsável por atender aos chamados dos titulares e por interagir com a ANPD; sendo assim, recomenda-se que a divulgação deste “canal” seja feita de maneira transparente (no site da empresa, por exemplo, com a indicação do e-mail/telefone, mas não necessariamente com o nome da pessoa, caso seja física);
- é importante prezar pela proximidade – ainda que a organização opte por contratar um DPO pessoa jurídica ou, ainda, um DPO que atenda várias outras controladoras, é essencial que o cargo seja preenchido por quem entenda “como a banda toca”; as respostas, tanto aos titulares quanto à ANPD, devem ser fornecidas rapidamente e, por obviedade, devem ser claras e precisas;
- deve ser alguém do jurídico? deve ser a pessoa do setor de tecnologia da informação? deve ter conhecimentos na perspectiva pessoas (recursos humanos)? Todas as respostas são afirmativas. Quanto mais multidisciplinar for o DPO, melhor. Claramente, não é necessário que ele tenha expertise em todas as áreas, mas deve conseguir transitar entre elas;
- o ideal é que seja escolhido antes ou durante o processo de formatação do projeto de conformidade em dados;
- é vital que o DPO tenha independência de atuação (até, obviamente, alcançar o patamar das tomadas de decisão – atribuição que não lhe cabe) e que não acumule funções, para evitar eventuais conflitos de atuação.
Entendida a importância da função, conclui-se que a decisão acerca da contratação/indicação deste profissional interferirá diretamente no sucesso (ou no fracasso) da implantação do projeto.
Firme no propósito de traduzir as regras da LGPD, nos artigos seguintes o centro da discussão será povoado pelas próximas etapas do plano de conformidade.
