Quanto mais estudamos a Lei Geral de Proteção de Dados, mais ouvimos a sigla ‘DPO’ e muitas pessoas ainda não sabem sequer do que se trata. DPO é a sigla em inglês para Encarregado de Proteção de Dados (Data Protection Officer), que é um profissional especialista em proteção e monitoramento dos dados das organizações.

Seu surgimento se deu nos países da Europa, quando instituíram o Regulamento Geral de Dados da União Europeia (GDPR) o qual, inclusive, serviu de inspiração para a nossa LGPD. De forma bem resumida, o DPO ou Encarregado de Dados, coordena as ações para que as entidades possam instituir políticas e ajustar suas operações e estruturas no âmbito da Lei Geral de Proteção de Dados.

Adotamos a definição de entidade para definir os agentes de tratamento de dados, pois, a LGPD destaca que, o tratamento de dados pessoais ou sensíveis, por pessoa natural ou por pessoa jurídica de direito público ou privado, com ou sem fins lucrativos, sujeita ao regramento da norma e, nesse contexto, o termo entidade é mais abrangente.

A fim de cumprirem e se adequarem à LGPD, as entidades, precisam indicar um responsável pelo processamento das operações com monitoramento regular e sistemático dos titulares de dados, ou seja, é preciso que as organizações tenham um DPO em seu time.

A LGPD não exige a contratação de um DPO funcionário, assim, é possível buscar uma empresa que preste o serviço, barateando o custo e, trazendo alto nível de profissionalização para a função. Por outro lado, entidades com baixo volume de dados, podem indicar um funcionário – preferencialmente que já possua acesso aos dados –  para exercer a função. E, claro, importante que tenha algum conhecimento em Tecnologia da Informação e Direito ou ainda, que esses profissionais sejam contratados para dar o respaldo necessário ao desenvolvimento das atividades.

De acordo com a norma, o DPO deverá receber reclamações e se comunicar com os titulares dos dados, oferecendo os esclarecimentos e adotando as necessários providencias, deverá prestar orientações aos colaboradores e realizar as atribuições previstas pelo controlador. Assim, uma forma facilitadora de cumprir a norma, é através da criação de um Comitê de Privacidade e Proteção de Dados, pois, ao mesmo tempo em que contribui para a tomada de decisão de forma centralizada, com a minimização, inclusive, de eventuais conflitos de interesse que possam existir.

Não há na legislação qualquer dispositivo que imponha alguma formação específica ou obrigatória para o exercício da atividade de DPO, mas, já há disponíveis cursos com essa formação. A atuação no exterior depende de um reconhecimento certificado.

De acordo com a evolução e participação da LGPD na vida das pessoas físicas e jurídicas, a figura do DPO também vai ganhar importância, afinal, além da questão legal, no cumprimento das diretrizes da norma, a comunicação dos titulares dos dados, internos e externos à entidade, deverá ser intermediada por esse profissional.

O DPO precisará conseguir apoio irrestrito da alta gestão da organização, pois, só assim terá autonomia necessária para as tomadas de decisão inerentes à sua função e, portanto, conseguirá desempenhar bem o papel de encarregado de dados, não só visando os interesses dos titulares dos dados, mas, também, cuidando da segurança das informações e da confidencialidade inerente à função.