O DPO no Brasil recebeu o nome de encarregado de proteção de dados e ganhou a seguinte definição, registrada no artigo 5º da lei:
“Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
1. A existência de uma função chamada Encarregado de Proteção de Dados (EPD) não é obrigatória pela LGPD, mas recomenda-se que as organizações que tratem um volume grande dados pessoais e que também sejam sensíveis possua um.
2. A LGPD não exige que o EPD seja certificado, mas é de bom tom que possua certa experiência na área de TI e segurança da informação.
A designação do DPO deve ser realizada em função das competências profissionais em especial dos conhecimentos avançados de proteção de dados. Um EPD é uma mescla de Gestão, Tecnologia e Aspectos Legais.
O artigo 41, parágrafo 2º lista as atividades de um EPD:
· Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
· Receber comunicações da autoridade nacional e adotar providências;
· Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
· Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O parágrafo 3º afirma que:
“A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.
Logo, essas tarefas podem ser adaptadas ou excluídas de acordo com orientação da ANPD.
PREOCUPAÇÕES DO EPD NO DIA-A-DIA
O EPD é a interface entre a segurança necessária para os dados pessoais e a forma como essa segurança é implementada nos sistemas da empresa para o perfeito atendimento da legislação. Para isso ele exerce as seguintes funções:
1. Sensibilizar e informar todos que tratem dados pessoais;
2. Assegurar o comprimento das políticas de privacidade e proteção de dados;
3. Controlar e regular a conformidade da aplicação da LGPD;
4. Recolher informação para identificar atividades de tratamento;
5. Controlar e acompanhar a produção da Avaliação de Impacto sobre Proteção de Dados (documentação que descreve os processos de tratamento de dados pessoais que podem gerar algum risco aos direitos dos titulares, além das medidas e mecanismos empregados para mitigar esses riscos).
6. Realizar a avaliação na exposição aos riscos de violações de privacidade e mitigá-los com ações de melhoramento (auditoria);
7. Recolher informação para identificar atividades de tratamento de dados (anonimização);
8. Manter atualizado os registos das atividades de tratamento de dados;
9. Promover formações de boas práticas para a proteção de dados;
Sendo assim, ser um EPD não é uma tarefa simples e muito fácil de ser executada. Ela demanda conhecimento, bom senso, experiência e pró-atividade. Ser EPD é uma atividade única dentro de qualquer Organização.
Baixe o GUIA DEFINITIVO DA ADEQUAÇÃO COMPLETA A LGPD da ALIX