Lei Geral de Proteção de Dados e a contratação do profissional DPO
A Lei Geral de Proteção de Dados (LGPD) tem como um de seus requisitos a nomeação, pelo controlador das informações, de um profissional encarregado para tratamento de dados pessoais, conhecido internacionalmente como DPO (Data Protection Officer).
A Lei Geral de Proteção de Dados do Brasil, também conhecida como LGPD, foi bastante inspirada no Regulamento Geral de Dados da União Europeia (GDPR). Por isso, o profissional especialista que ficará encarregado pela proteção de dados recebeu o nome de DPO (Data Protection Officer).
LGPD demanda especialista em proteção de dados
As atribuições determinadas para este profissional envolvem aceitar reclamações e manifestações das pessoas naturais, prestando-lhes esclarecimentos e adotando providências que se fizerem necessárias. Além disso, é atribuído também ao DPO o recebimento das comunicações da ANPD (Autoridade Nacional de Proteção de Dados) e dar a elas a providência pertinente.
Estudo realizado pela IAPP (International Association of Privacy Professional), tomando por base o número de empresas existentes no País, estima que o Brasil necessita, imediatamente, algo em torno de 50 mil DPOs. Isto para atender cerca de 50% das empresas dos setores de transporte, armazenamento, correio, alojamento, alimentação, informação, comunicação, saúde humana, serviços sociais, atividades científicas e técnicas profissionais e 100% das empresas do segmento financeiro, de seguros e serviços relacionados. Segundo o IAPP, estes setores empresariais processam dados em grande escala, caso evidente de que o DPO será exigido, mesmo que a empresa seja de pequeno porte.
É relevante, então, destacarmos o parágrafo 3º, do Artigo 41 da LGPD, que deixa claro que “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado pelos dados, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.
Entretanto, até que isso ocorra, toda empresa precisa nomear seu DPO, inclusive para que atue firmemente na adequação da organização às diretrizes da LGPD, mesmo se considerarmos que 90% das companhias brasileiras são de pequeno ou médio porte e já que não é possível instituir quais os parâmetros que a ANPD utilizará em relação às hipóteses de dispensa deste profissional específico.
Uma alternativa simples, viável e segura é a terceirização, com a contratação por um prazo acordado ou até que a ANPD regulamente a questão (mais correto) de empresas especializadas na Lei Geral de Proteção de Dados, dentro do sistema conhecido como “as a service”.