DPO e Certificação — Qualificações do DPO — apesar de não ser necessário porque é relevante

Desde a entrada em vigor do Regulamento Europeu de Proteção de Dados Pessoais (RGPD) em 2018, muitas expectativas foram criadas a respeito da figura do Encarregado da Proteção de Dados ou, na versão em inglês, o Data Protection Officer (DPO). Anos depois, a partir da vigência da Lei Geral de Proteção de Dados no Brasil (LGPD), a função ainda desperta interesse e dúvidas de muitos, incluindo desde aqueles em busca da adequação aos regramentos da lei como quem procura uma nova oportunidade profissional.

Mas, afinal, quem é o Encarregado?

De acordo com o art. 41, o encarregado é o agente responsável por garantir a conformidade de uma organização, seja pública ou privada, à LGPD, devendo ser nomeado pelo controlador, preferencialmente, por um ato formal. Como a lei não traz maiores qualificações, presume-se que a função pode ser tanto exercida por um funcionário da organização como por agente externo, independentemente de ser pessoa física ou jurídica.

Diferentemente do que é previsto pelo GDPR, a lei brasileira não especificou as situações em que a nomeação desse profissional é obrigatória, o que nos faz assumir que, atualmente, a indicação deva ser feita por toda organização, pelo menos até termos uma indicação de situações de dispensa pela Autoridade Nacional de Proteção de Dados (ANPD), conforme disposição do §3º.

Quais as funções e atribuições do Encarregado?

Por determinação expressa da LGPD (art. 5º, VIII), o Encarregado é a figura responsável por, em nome do controlador, fazer a comunicação com ANPD e titulares de dados pessoais, o que inclui, dentre outras, as atribuições de:

  1. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  2. receber comunicações da autoridade nacional e adotar providências;
  3. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  4. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Diante de tais funções, apesar de ser uma posição indicada pelo controlador, é fundamental que o profissional tenha liberdade e autonomia para realização de suas funções com eficiência, não sendo vedado que ele seja auxiliado por uma equipe adicional de proteção de dados.

Quais as qualificações de um Encarregado?

Tal informação não está expressa na lei, porém, de acordo com as boas práticas reconhecidas internacionalmente, podemos afirmar que é fundamental que o profissional indicado tenha, pelo menos, conhecimento de proteção de dados e segurança da informação em níveis adequados para atender às necessidades das operações de tratamento de dados de sua organização e eventuais comunicações com os titulares de dados e a ANPD.

Por isso, é fundamental que o Encarregado não apenas conheça da LGPD, mas de todo o ambiente regulatório de privacidade e proteção de dados no Brasil e, eventualmente, outros contextos internacionais, além de manter-se atualizado sobre orientações da ANPD e conhecer profundamente os processos e a organização.

Considerando as atribuições que serão demandadas do Encarregado, não há dúvidas de que conhecimento interdisciplinar é indispensável. Apesar de muitos Encarregados serem também advogados, não é necessário que a função seja exercida especificamente por essa profissão.

Nesse sentido, como o tratamento de dados pessoais pode ocorrer de forma automatizada, por meio de técnicas de Inteligência Artificial, o que aumenta os riscos para a atividade, é aconselhável que o profissional tenha conhecimentos mínimos sobre tecnologia da informação, gestão de processos e análise de riscos.

Como tornar-se um Encarregado?

Atualmente, não há uma formação reconhecida e determinada para que alguém possa exercer o cargo de Encarregado. Apesar de existirem cursos que prometem a especialização de Encarregado, ou mesmo cursos de extensão sobre temas importantes para o desempenho da função, o DPO ou Encarregado é um cargo/função, e não uma formação.

Nesse sentido, a Certificação do Data Privacy Brasil em Privacidade e Proteção de Dados representa uma forma concreta de atestar os conhecimentos para o exercício da atribuição de Encarregado em determinada organização. Por mais que a LGPD não exija uma certificação, profissionais certificados se destacam como um diferencial nesse crescente mercado.

A Certificação DPBR comprova não apenas o conhecimento da LGPD, mas também de todo o ambiente regulatório de proteção de dados no Brasil, o que inclui também o Código de Defesa do Consumidor, Marco Civil da Internet, Lei de Acesso à Informação, Lei do Cadastro Positivo, normativas emitidas pelo Banco Central, além de alguns aspectos de intersecção com o GDPR, mecanismos de segurança da informação (a exemplo de normas ISO 27001, 27002 e 27701) e iniciativas de governança em Privacidade e Proteção de Dados.

Como a função de Encarregado demanda não só conhecimentos multissetoriais teóricos, mas principalmente práticos, a Certificação é relevante nesse cenário porque o conhecimento avaliado não fica na superfície dos principais conceitos e artigos das leis, mas examina também a capacidade técnica e prática do candidato! Por exemplo, em alguns itens de prova, o candidato deve tomar decisões complexas sobre quais devem ser ações para assegurar que a sua organização esteja em conformidade com o ambiente regulatório.

Por isso, a Certificação Data Privacy Brasil em Privacidade e Proteção de Dados é um ótimo instrumento para atestar a capacidade do profissional certificado em relação à sua atuação prática, não apenas no que tange à teoria e legislação sobre proteção de dados, mas também habilidades de gerenciamento de problemas, riscos e crises, o que é cada vez mais recorrente na rotina de organizações, em especial, para exercício da função de Encarregado!

Para mais informações: https://dataprivacy.com.br/certificacao/.