A Lei geral de Proteção de Dados entrou em vigor no dia 19 de setembro de 2020, mas ainda há muitas dúvidas sobre quais empresas precisam ter e quem pode ser um DPO, o encarregado de proteção de dados.
Todas as empresas que armazenam, coletam ou processam dados pessoais precisam ter um DPO. O DPO é um especialista em segurança da informação encarregado de monitorar o tratamento de dados feito pelas empresas, a fim de proteger as informações dos titulares dos dados.
O Texto da lei deixa claro a necessidade e a importância do DPO, tanto para os titulares dos dados quanto para as empresas. Por isso, elaboramos este artigo para você entender quais empresas precisam de um DPO e quem pode ser o DPO.
LGPD, e agora?
Antes mesmo de a lei ser aprovada, muitos já se perguntaram o que vai acontecer com suas empresas quando a data chegasse. Em nosso “CyberTalks” conversamos com a Carla Manso sobre como isso deve impactar as organizações daqui pra frente.
Por que a conformidade com a LGPD deve ser feita com o auxílio de uma ferramenta
O uso de uma ferramenta para o auxílio na conformidade com a LGPD vai além de um simples commodity, pois estamos falando aqui de uma lei que está sofrendo alterações a todo instante e exigirá ações rápidas por partes das organizações e um sistema de gerenciamento altamente eficaz para dar conta disso.
Especialmente para empresas que já existem há algum tempo, e que ao longo da existência tiveram uma relação irregular com o uso de dados, seja pela falta de cuidado ou pelo uso compulsivo sem autorizações específicas, entrar em conformidade com a LGPD será um grande desafio, ainda mais se não for possível contar com alguma tecnologia.
Pensando em todos os benefícios que uma Solução de Automação da Gestão de Privacidade como a OneTrust pode oferecer, preparamos um material para falar sobre 7 dos mais requisitados pelos usuários. Confira a seguir:
Quais empresas precisam ter um DPO
Todas as empresas que armazenam, coletam ou processam dados pessoais precisam ter um DPO.
A transformação digital trouxe novas possibilidades para todos os tipos de negócios. Segundo Pesquisa Global de Qualidade de Dados de 2020, 85% das as organizações veem os dados como um dos ativos mais valiosos para seus negócios.
O desafio que vêm junto com as novas oportunidades para as empresas é assegurar proteção e privacidade às informações pessoais dos clientes e funcionários, os titulares de dados. E a LGPD tornou esta tarefa obrigatória para todas as organizações.
Por isso a lei obriga que as empresas tenham um DPO. O texto da LGPD deixa claro que toda empresa que processa mais de 5 mil registros em um período de 12 meses é obrigada a ter um DPO.
O Artigo 37 da lei mostra de modo específico quais empresas precisam de um DPO:
- Entidades públicas (exceto Tribunais)
- Empresas que processam dados em larga escala
- Empresas que tratam dados criminais.
Certamente a maioria das empresas não se enquadram no nos itens 1 e 3, mas o item 2 engloba a grande maioria das organizações. O fato é que o DPO não deve ser somente um instrumento para operar de acordo com a lei.
As organizações precisam olhar para o DPO como algo positivo e funcional, não somente pelo prisma do compliance. Afinal, cibercrimes serão um dos maiores desafios da humanidade nas próximas décadas, segundo o Relatório Anual Oficial de Cibercrime de 2019 da Herjavec.
Sendo assim, como a função do DPO é cuidar da saúde dos dados, é imprescindível para qualquer empresa ter um DPO. É ele quem ajudará as companhias a cuidarem da proteção e privacidade dos dados e nos processos para impedir vazamentos e violações.
Bom, sabemos então quais empresas precisam de um DPO. Mas quem pode ser o DPO? Continue lendo este artigo para entender quem pode se tornar o Encarregado de Proteção de Dados.
Quem pode ser o DPO
A LGPD define os dois tipos de empresas que têm responsabilidades, deveres jurídicos e penalizações específicas:
- Controlador – Empresa que toma as decisões referentes ao tratamento de dados pessoais
- Operador – Empresa que realiza o tratamento dos dados em nome do controlador.
O DPO pode ser um membro da empresa controladora ou operadora. As organizações relacionadas podem usar o mesmo indivíduo para supervisionar a proteção de dados coletivamente, desde que todas as atividades sejam gerenciadas com eficácia.
Neste cenário, o DPO deve ser facilmente acessível por qualquer pessoa de qualquer uma das organizações relacionadas, sempre que for preciso. É necessário que as informações do DPO sejam divulgadas publicamente e fornecidas à Autoridade Nacional de Proteção de Dados (ANPD).
Para entender quem pode ser o DPO, primeiro é necessário saber que este cargo deve ser designado a alguém com experiência em leis e práticas de proteção de dados. Além disso, o DPO deve ter entendimento completo da infraestrutura de TI, tecnologia e estrutura técnica e organizacional da empresa.
Veja as principais dúvidas sobre quem pode ser o DPO:
O DPO pode ser um funcionário da empresa? Sim. Desde que as tarefas do funcionário sejam compatíveis com os deveres do DPO e não levem a um conflito de interesses. Então, a empresa pode nomear um funcionário existente como seu DPO, em vez de criar um novo cargo.
É possível terceirizar o DPO? As empresas podem terceirizar o DPO, com base em um contrato de serviço com um indivíduo ou uma organização, o que chamamos de DPOaaS (DPO as a Service). É importante estar ciente de que um DPO externo deve ter o mesmo cargo, tarefas e deveres que um nomeado internamente.
O DPO é responsável pela conformidade? O DPO não é especificamente responsável pela conformidade da proteção de dados. Como controlador ou processador, é responsabilidade da empresa cumprir o que diz a LGPD. Entretanto, o DPO desempenha um papel crucial em ajudar as empresas a cumprirem as obrigações de proteção de dados.
Chegamos então à conclusão que as empresas precisam ter um DPO, pois esta figura irá ajudá-la a ter uma boa reputação quanto à proteção e privacidade de dados e também a operar em conformidade com a LGPD.
E que o DPO precisa ter excelentes habilidades de gestão e muito conhecimento sobre segurança da informação para garantir a conformidade interna e ainda alertar as autoridades sobre o não-conformidade, se tal evento ocorrer.
Conte com a Compugraf na segurança e privacidade de sua empresa
O que falta para sua empresa estar segura, e em que momento de conformidade com a LGPD vocês se encontram? Seja qual for os seus principais desafios, a Compugraf possui uma equipe especialista no assunto para auxiliar a sua empresa nessa importante transformação de processos.
Conte com a gente!