fbpx

Terceirização do Encarregado(a) de Dados Pessoais "DPO as a Service"

O Encarregado(a) ou também conhecido como Data Protection Officer (DPO), conforme definição da LGPD tem o papel de “… atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)…”

Embora as empresas tendem a voltar os olhos para dentro de casa em busca do perfil ideal ou buscar no mercado este profissional, a exigência de uma nova função, a do DPO, torna-se um desafio ao RH de algumas empresas, pois esse profissional pode alcançar o status de C-Level (Diretoria/Executivo), o que em grande parte é um custo relativamente elevado.

Sendo este profissional responsável por representar a empresa/controlador diante da Autoridade Nacional de Proteção de Dados, órgão responsável por regular esse tema no Brasil, e deve estar ciente dos processos de gestão de crises da Empresa, que fazem parte de suas atribuições, pois as sanções e as multas são factíveis e preocupam, pois elas podem alcançar 2% do faturamento bruto, com teto de R$ 50 milhões.

De acordo com a seção II do capítulo VI= da Lei Geral de Proteção de Dados, artigos 41 e seguintes, temos a seguinte atribuição de funções:

Art. 41. O controlador deverá indicar um encarregado pelo tratamento de dados pessoais.

1° A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

2° As atividades do encarregado consistem em:

Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
Receber comunicações da autoridade nacional e adotar providências;
Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Quais as atribuições, procedimentos, relatórios e rotinas do DPO?

Planejamento

Elaborar o Planejamento dos serviços. Para cada tipo de requerimento, elaborar um SLA (termo de aceite a nível de serviços) que norteará o tempo de resposta.

Procedimentos de Atualização

Manter atualizado o programa de proteção de dados e os documentos elaborados na fase de adequação, instituídos no projeto de Adequação à LGPD.

Programa de Conscientização

Preservar com comunicações e treinamentos, sempre que necessário, a cultura de governança de dados (LGPD).

Gestão de Riscos de Terceiros

Ser o principal canal de comunicação com acionistas, diretorias ou fornecedores.

Atendimento aos Titulares de Dados

Ser o principal canal de comunicação com os titulares de dados para esclarecimentos quanto ao tratamento de dados e termos de consentimento; Prover esclarecimentos aos titulares de dados, fornecedores, clientes internos e externos.

Atendimento à ANPD

Ser o principal canal de comunicação com a Autoridade Nacional de Dados, ANPD sempre que necessário, esclarecendo como adequou seus processos, medidas de segurança adotadas. Também, respondendo a questões de incidentes, ou, quaisquer outras informações a serem inqueridas pela ANPD.

Gestão de Incidentes e Crise

Tratar tempestivamente as ações com o comitê de crise quando houver qualquer tipo de vazamento de dados ou uso indevido. Desenvolvendo a comunicação com os titulares, definindo a estratégia de atuação; comunicação com a ANPD.

Report Executivo

Ser o principal canal de comunicação com acionistas, diretorias ou fornecedores; Informar tempestivamente à Administração qualquer assunto que possa impactar à imagem da empresa, trazer riscos aos negócios ou ações cíveis.
Conteúdo protegido!