Para a LGPD o profissional DPO é tratado como “Encarregado de Proteção de Dados”, no entanto as atribuições são as mesmas, sendo asssim, a única coisa que muda é simplesmente o nome. Embora este artigo esteja baseado na GDPR, podemos interpretar o cargo de DPO da mesma forma na LGPD.

Para auxiliar na compreensão do que representa o DPO, fiz uma tradução e adaptação do artigo “The Article 29 Working Party Issues Final Guidelines on Data Protection Officers (“DPO”)“, nele podemos entender melhor o que significa cada atribuição.

Na sua sessão plenária de 5 de abril, o Grupo de Trabalho do Artigo 29.º (“WP29“) aprovou orientações revistas relativas à interpretação de elementos do Regulamento Geral de Proteção de Dados (“GDPR“), incluindo sobre a nomeação de agentes de proteção de dados.

Alguns dos novos pontos levantados pelo WP29 em sua orientação final são os seguintes:

1. Responsabilidade significa que as avaliações de DPO precisam ser mantidas atualizadas e podem ser solicitadas a qualquer momento

Quando os controladores e processadores determinam se um DPO é ou não necessário, eles devem manter uma cópia de sua análise em seus registros, uma vez que essa avaliação está dentro do escopo de suas obrigações mais amplas de responsabilidade.

As diretrizes finais estabelecem que esta avaliação (i) pode ser solicitada pela autoridade supervisora ​​competente a qualquer momento e (ii) deve ser revisitada toda vez que novas atividades e serviços forem contemplados. Dadas as crescentes conseqüências legais que essa análise criará, os controladores e o processador são aconselhados a prosseguir com cuidado ao fazer sua avaliação do DPO.

2. Nenhuma nomeação “à la carte” do DPO

Quando os controladores e processadores nomeiam um DPO (seja em uma base obrigatória ou voluntária), essa pessoa se torna responsável por todas as atividades de processamento realizadas pela organização.

Portanto, não será possível circunscrever o papel do DPO designado a apenas uma parte das atividades da organização e mantê-lo longe do resto.

3. Big data agora é um exemplo de ‘monitoramento regular e sistemático’

Como notado originalmente, todas as formas de rastreamento e perfis on-line são citadas como exemplos, inclusive para fins de publicidade comportamental e retargeting de e-mail.

As diretrizes finais vão um pouco além e adicionam uma referência a “atividades de marketing orientadas por dados”, de modo a capturar, por exemplo, operações no estilo big data.

4. De preferência, o DPO deve estar localizado dentro desta

As orientações finais sugerem que esta é, de facto, a maneira de os responsáveis ​​pelo tratamento e os processadores garantirem a acessibilidade do seu RPD (a menos que essas organizações não tenham presença na UE e as actividades do RPD sejam melhor realizadas fora da UE).

5. Só pode haver um DPO, mas suportado por uma equipe

Embora as diretrizes finais confirmem que apenas um DPO pode ser nomeado (impedindo a “virtualização” da função entre vários indivíduos), essa pessoa pode receber ajuda e suporte de uma equipe. Múltiplas adições podem ser vistas em todo o documento para confirmar este ponto.

Clarifica-se um ponto do projecto inicial de orientações, que prevê que o RPD deve estar em condições de comunicar eficazmente com os titulares de dados e cooperar com as autoridades de supervisão na língua ou línguas utilizadas pelas autoridades de supervisão e pelos titulares de dados afectados. Este ponto levantara críticas, pois parecia implicar que o DPO deveria falar todas as línguas da UE. As orientações alteradas deixam claro que tais comunicações nas várias línguas da UE podem ser feitas pelo DPO “com a ajuda de uma equipe, se necessário”.

6. Dever de garantir a confidencialidade das comunicações entre o DPO e os funcionários

As diretrizes finais confirmam a necessidade de implementar “meios seguros de comunicação” entre os funcionários e o DPO (interno ou externo) para garantir a confidencialidade de seus intercâmbios. Isso, por exemplo, seria assegurado pela presença física do DPO nas instalações dos funcionários ou pelo estabelecimento de uma linha direta. A sugestão aqui é que os meios seguros de comunicação devem estar livres de tecnologias de monitoramento.

7. Gerentes seniores, incluindo o chefe de RH, Marketing ou indivíduos de TI, estão impedidos de servir como DPO

O GDPR não impede que os DPOs ocupem outros cargos, mas exige expressamente que os controladores e o processador garantam que essas outras tarefas não gerem um conflito de interesses para o DPO.

As diretrizes finais identificam dois grupos de situações que podem gerar conflitos de interesses:

  • Nomeação interna: DPOs com cargos de gerência sênior (ex. CEO, COO, CFO, Diretores Médicos, Chefe de Marketing, RH ou TI) não serão elegíveis para cargos de DPO. O mesmo seria verdadeiro para pessoas com funções inferiores dentro da organização da empresa, se seus papéis levassem à determinação de propósitos e meios de processamento; e

  • Consulta externa: Se um DPO externo (por exemplo, um advogado, perito) fornecer serviços diários de DPO a controladores ou processadores, isso pode impedir que esse indivíduo represente essas entidades perante os tribunais em casos que envolvam problemas de proteção de dados.
8. O GDPR não impede que o DPO mantenha registros de processamento

Sob o GDPR, o DPO não está encarregado de manter registros das atividades de processamento, ao passo que esta é uma parte importante das tarefas atuais do DPO sob as leis locais de proteção de dados na França e na Alemanha. As diretrizes alteradas agora fornecem que nada impede que o controlador ou o processador designe o DPO com a tarefa de manter os registros das operações de processamento sob a responsabilidade do controlador ou do processador. As diretrizes alteradas também prevêem que tais registos sejam considerados como uma das ferramentas que permitem ao DPO desempenhar as suas tarefas de informar e aconselhar o responsável pelo tratamento ou o processador e monitorizar o cumprimento do Regulamento.

Baixe o documento “Orientações sobre os encarregados da proteção de dados (EPD)” em PDF.