Quem é o Encarregado pelo Tratamento de Dados Pessoais (DPO) e quando uma empresa é obrigada a tê-lo?
O Encarregado pelo Tratamento de Dados Pessoais (DPO), sigla para Data Protection Officer, é o profissional responsável por todo o tratamento dos dados pessoais utilizados na empresa. É sua responsabilidade lidar com as reclamações dos titulares dos dados, auxiliar outros setores a como tratar os dados de forma correta e legal, comunicar-se com a ANPD, entre outros.
De forma resumida, o Encarregado pelo Tratamento de Dados Pessoais (DPO) atua nas seguintes frentes:
1) Comunicação com a Autoridade Nacional de Proteção de Dados (ANPD) e Titulares de Dados em caso de incidentes.
2) Respostas às requisições dos Titulares de Dados Pessoais.
3) Treinamentos de colaboradores.
4) Monitoramento do registro das atividades de tratamento de dados pessoais.
A LGPD não traz nenhum requisito ou formação profissional para ser DPO.
Só advogado pode ser DPO?
Não.
Se entende que o advogado pode ser DPO, bem como profissionais de Tecnologia da Informação e Especialistas em segurança de dados.
Inclusive, é possível a contratação de DPO AS A SERVICE.
DPO AS A SERVICE
O serviço de DPO as a service se resume na terceirização da contratação do DPO da sua empresa. O terceirizado contrato pode ser uma empresa ou mesmo uma pessoa física.
Quando uma empresa é obrigada a ter um DPO?
Resolução CD/ANPD nº 2/2022
De acordo com a Resolução CD/ANPD nº 2/2022 voltada para pequenas empresas e startups, algumas empresas não são obrigadas a indicar o Encarregado pelo Tratamento de Dados Pessoais (DPO), basta a criação e disponibilização de um canal de comunicação com o titular dos dados.
O objetivo da Resolução CD/ANPD nº 2/2022 é flexibilizar algumas regras para microempresas, empresas de pequeno porte e startups ou empresas de inovação, bem como de outros estabelecimentos assim entendidos, buscando o equilíbrio entre o porte destas empresas e a garantia de direitos dos titulares dos dados coletados.
Há dois grupos que não fazem jus às flexibilizações:
- pessoas naturais com objetivos exclusivamente particulares e não econômicos e agentes de tratamento de pequeno porte que tenham receita bruta superior a R$ 4,8 milhões ou, no caso de startups, que tenham receita bruta superior R$ 16.000.000,00 no ano-calendário anterior ou que façam parte de grupo econômico cuja receita global ultrapasse esses valores;
- agentes de tratamento de pequeno porte que trabalhem com tratamento de dados com ALTO RISCO.
A ANPD ainda está elaborando um guia com orientações para auxiliar os agentes de tratamento de pequeno porte na avaliação quanto ao tratamento de dados pessoais de alto risco.