DPO deve ter autonomia para gerir os Dados da empresa

A nomeação de um Encarregado da Proteção de Dados, ou DPO, na sigla em inglês, é obrigatória para algumas empresas, de acordo com a Lei Geral de Proteção de Dados – LGPD, mas os gestores são livres para escolher quem vai assumir o cargo, desde que as exigências legais que garantem o exercício pleno de suas funções sejam cumpridas.

“O DPO é uma peça-chave para o cumprimento da nova regulação. As funções a ele atribuídas o tornam o piloto do processo de conformidade que as empresas devem seguir. Por este motivo, esse profissional deve, entre outras coisas, aconselhar os funcionários sobre questões relativos à proteção de dados, monitorar o cumprimento da lei e ser um ponto de contato para a Autoridade Nacional de Proteção de Dados – ANPD, e os titulares dos dados”, explica Marcelo Barsotti, CRO da Pryor Global.

Segundo ele, devido à variedade de assuntos com os quais ele tem de lidar, o DPO precisa apoiar todos os departamentos e ter autonomia para tomar decisões relativas à proteção dos dados e da privacidade dos titulares. Ter esta independência para exercer as funções significa que o DPO, no caso de ser um funcionário e ter outras funções na empresa, não pode decidir sobre os objetivos ou formas de tratamento dos dados pessoais. Isto prejudica o trabalho do profissional, pois existe um conflito de interesses, que prejudica sua independência na gestão dos dados.

“Ter independência significa que o profissional designado não deve se reportar e receber instruções de outros colaboradores que tenham tomada de decisão quanto ao tratamento de dados, em especial no desempenho de suas funções, por exemplo, sobre como investigar uma reclamação, qual deve ser o resultado de uma auditoria interna, entre outras. Da mesma forma, ele deve ter autonomia na interpretação da Lei Geral de Proteção de Dados e na averiguação de conformidade da companhia”, detalha Barsotti.

O DPO também não deve estar sujeito a sanção ou demissão como resultado do desempenho de suas funções, por exemplo, se encontrar irregularidades durante o tratamento de dados pessoais de clientes, funcionários ou parceiros comerciais. “Mas sendo um funcionário, ele pode ser penalizado por motivos prescritos pela legislação trabalhista (como roubo, assédio e outras condutas indevidas graves). Quando é terceirizado (DPO as a Service), a consultoria contratada pode ser acionada pelo não cumprimento de suas obrigações estabelecidas em contrato.

“O Encarregado de Proteção de Dados deve ser capaz de abordar diretamente o mais alto nível da empresa sobre uma questão específica relacionada à proteção de dados, se ele ou ela considerar necessário. Da mesma forma, os executivos C-level devem respeitar o trabalho do DPO e acatar as suas sugestões em prol da conformidade com a lei”, conclui o executivo da Pryor Global.