Migalhas de Peso

O Data Protection Officer – DPO

O DPO é o profissional responsável por aconselhar e verificar se tais entes estão obedecendo o GDPR ao processarem e tratarem dados pessoais de terceiros.

25/5/2018

Ao instituir o GDPR, a União Europeia criou mecanismos para garantir o cumprimento da norma pelos sujeitos a que a ela estão submetidos.

Nesse sentido, os responsáveis pelo tratamento e processamento de dados pessoais, sejam estes entes privados ou públicos, deverão possuir em seus quadros um Data Protection Officer ("DPO").

Em poucas palavras, o DPO é o profissional responsável por aconselhar e verificar se tais entes estão obedecendo o GDPR ao processarem e tratarem dados pessoais de terceiros.

Embora o legislador europeu não tenha fixado requisitos objetivos para que um profissional seja nomeado DPO, o item (5) do art. 37 da norma estabelece que esse profissional deverá ser uma pessoa com expertise na legislação e nas práticas de proteção de dados.

É importante ainda notar que a obrigatoriedade da indicação do DPO não é absoluta, de modo que nem todos os sujeitos que tratam ou processam dados pessoais precisarão possuir tal profissional em seus quadros.

No entanto, em três hipóteses a indicação do DPO será obrigatória, nos termos do item (1) do art. 37 do GDPR:

a) quando o tratamento de dados é realizado por uma autoridade ou organismo público, com exceção de autoridades que exerçam atividade jurisdicional;

b) quando a entidade está envolvida em monitoramento sistemático e em larga escala de dados pessoais de usuários; ou

c) quando a entidade processa ou controla dados pessoais sensíveis, conforme art. 9 do GDPR, ou relativos a condenações ou delitos criminais, conforme art. 10 do GDPR.

Assim, quando os responsáveis pelo tratamento de dados pessoais se enquadrarem em um dos três casos acima, a presença de um DPO será obrigatória e deverá ser informada à autoridade reguladora.

O DPO poderá ser nomeado entre os próprios funcionários da entidade atinente ou, então, poderá ser um profissional externo, cujo vínculo será criado por meio de um contrato de prestação de serviços.

Dentre as atividades que deverão ser desempenhadas pelo DPO destaque-se o aconselhamento sobre as normas vigentes relativas à proteção de dados pessoais, o monitoramento do cumprimento do GDPR pela entidade a que está vinculado e a cooperação com as autoridades públicas supervisoras da norma.1

No âmbito privado, o legislador europeu quis garantir que toda empresa terá um profissional capaz de guia-la na proteção dos dados pessoais de seus clientes e usuários, tendo em vista que a coleta e processamento de dados dessa natureza se dá cada vez em maior escala.

E qual a importância do DPO para as empresas brasileiras?

Em primeiro lugar, embora não haja qualquer previsão legal estabelecendo a necessidade da indicação do DPO na legislação brasileira, o fato é que o GDPR não se aplica unicamente a empresas sediadas em território europeu2, sendo certo que a norma afetará empresas nacionais, de maneira direta ou indireta.

Assim, uma empresa brasileira que desenvolva negócios com empresas europeias terá um atrativo se nomear um DPO. Afinal, tal profissional poderá atestar que se trata de uma instituição atenta à proteção de dados pessoais e à legislação vigente sobre a matéria.

Ademais, tudo indica que a figura do DPO será, muito em breve, incorporada pelo ordenamento jurídico pátrio. O PL 5.276/16, um dos mais completos projetos legislativos que trata da proteção de dados pessoais, cria, em seu artigo 41, o "encarregado", profissional que tem seu perfil e obrigações claramente inspirados no DPO europeu.3

Desse modo, por qualquer dos dois motivos acima, fica claro que o DPO já é uma realidade e que as empresas nacionais que processam dados pessoais precisarão se adaptar à tal normativa em algum momento.

Como o DPO deve possuir notório conhecimento acerca da legislação e da prática relativas à proteção de dados, tal cargo pode ser ocupado por um colaborador interno ou por um agente externo, mediante contratação.

Embora a relevância do papel do DPO ainda não tenha sido testada na prática, parece claro que esse profissional será peça-chave no desenvolvimento de atividades empresariais relacionadas à coleta e processamento de dados pessoais em um futuro muito próximo.

______________

1 Art. 39 do GDPR

2 Art. 3º do GDPR

3 Art. 41. O responsável deverá indicar um encarregado pelo tratamento de dados pessoais. (...) §2º As atividades do encarregado consistem em: I – receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações do órgão competente e adotar providências; III – orientar funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoas; e IV – demais atribuições determinadas pelo responsável ou estabelecidas em normas complementares. (...)

______________

*Jaqueline Simas de Oliveira é advogada do escritório Dannemann Siemsen Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas de Peso

Por que a legislação europeia interessa a empresários brasileiros com negócios na internet?

25/5/2018
Migalhas de Peso

O GDPR e a proteção dos dados sensíveis

24/5/2018
Migalhas de Peso

Data Breach: a violação de dados no GDPR

23/5/2018
Migalhas de Peso

A questão do consentimento no GDPR

22/5/2018

Artigos Mais Lidos

A lei Federal do mercado regulado de carbono: breves comentários

12/12/2024

Adriane Galisteu e Ayrton Senna tinham uma união estável?

12/12/2024

O sentido da vida é fazer sentido a outras vidas?

13/12/2024

Tema 863 STF: O entendimento do STF quanto a limitação dos patamares da multa punitiva qualificada

13/12/2024

Racismo e aporofobia no meio acadêmico: A necessidade de respostas estruturais

12/12/2024