DPO: importância do cargo na Proteção de Dados Pessoais



Atualmente, é perceptível como os dados pessoais ganharam foco nas discussões acerca de privacidade. Leis nacionais e internacionais tratam desse assunto tão importante, a fim de preservar os direitos de cada indivíduo.

Nesse contexto, o tratamento dos dados pessoais ganhou destaque com a promulgação da Lei Geral de Proteção de Dados (LGPD) no Brasil, a qual trouxe diversas inovações para garantir a segurança das informações pessoais.

Este artigo abordará um fundamental elemento dentro do tratamento de dados: o Data Protection Officer (DPO), um cargo imprescindível em qualquer empresa que trabalhe com dados pessoais.

Serão tratadas questões tanto do histórico do Encarregado (como é denominado o DPO no Brasil), com os aspectos legais e internacionais envolvidos, até as funções e responsabilidades que são inerentes a esse cargo.

Histórico do Encarregado pela proteção de dados.

Em 2016, iniciou-se a discussão acerca do DPO quando a União Europeia apresentou o General Data Protection Regulation (GDPR). Esse documento foi pioneiro em inúmeros pontos sobre o tratamento de dados pessoais, inclusive no estabelecimento da figura do Encarregado.

O GDPR instituiu a necessidade da presença de um profissional responsável por verificar se os encarregados do tratamento de dados pessoais dentro da empresa estão cumprindo com as normas vigentes.

Dessa forma, percebe-se que o Brasil foi influenciado pelo regulamento europeu, uma vez que, ao criar a LGPD, alguns pontos já existentes no GDPR foram elencados nas leis nacionais.

O cargo de DPO e a LGPD

A Lei Geral de Proteção de Dados, exigiu que toda empresa, independentemente do tamanho, que recolha, processe ou armazene dados pessoais (tratamento de dados) possua o cargo de DPO. Isso vale tanto para o setor privado quanto para o público.

No entanto, a Lei aponta que algumas exceções poderão ser listadas pela Autoridade Nacional de Proteção de Dados (ANPD), quando esta for propriamente estruturada. Com isso, há a possibilidade de regras menos rígidas serem formuladas para abranger a realidade das empresas de menor porte.

Além disso, a LGPD anuncia que a identidade e as informações de contato do Encarregado precisam ser disponibilizadas para o restante da empresa. Esse processo deve se dar de maneira clara e objetiva.

Funções do DPO dentro de uma empresa

Como dito anteriormente, as funções inerentes ao Encarregado pelo tratamento dos dados pessoais são definidas pela legislação nacional, a LGPD. Em matéria de leis internacionais, cabe analisar as determinações do GDPR.

Inicialmente, o DPO funciona basicamente como a ponte de conexão das empresas com as autoridades públicas que monitoram atividades de tratamento de dados (a ANPD futuramente). Além disso, ele também faz o contato com os titulares das informações pessoais.

Desse modo, ele deve trabalhar no sentido de apontar para sua empresa como agir adotando procedimentos adequados de tratamento de dados. Ou seja, o DPO guia e fiscaliza a organização da instituição, visando a proteção dos dados pessoais que são utilizados por ela.

O Encarregado precisa educar a companhia e sua equipe sobre os parâmetros de conformidade legal, também prezando pelo treinamento dos profissionais que estejam envolvidos nos processos de manuseio de informações as quais necessitam de segurança.

A estruturação de um programa de compliance é algo fundamental de se ter em mente quando se fala no cargo de DPO, a fim de garantir o máximo de segurança para os direitos dos titulares dos dados. Para saber mais sobre o compliance de dados, acesse: https://www.advocatta.org/post-ch2sf/compliance-e-o-sucesso-das-empresas

Ademais, o DPO deve exigir do Departamento de TI a inclusão de cláusulas claras e objetivas de consentimento, para que os clientes fiquem plenamente cientes do que será realizado internamente com seus dados pessoais.

Por fim, cabe também ao Encarregado alertar as autoridades públicas quando a empresa efetuar alguma ação que descumpra com os regulamentos legais de conformidade.

Em casos de vazamento de informações pessoais, o DPO precisa orientar a empresa a avisar os clientes afetados pela falha o mais rápido possível, dentro dos limites impostos pela Lei.

Responsabilidades do Encarregado

Quanto às responsabilidades ligadas ao cargo de DPO, vale apontar que o agente deve se comprometer com a segurança e a ética no ambiente de trabalho que está inserido.

De forma geral, seu trabalho consiste em proteger as informações de risco de todos: da empresa, dos colaboradores e, principalmente, dos clientes.

Ele deve deixar claro ao cliente quais dados pessoais a empresa coletará e qual será a finalidade deles. Isso pois o DPO deve garantir que o titular das informações tenha controle e entendimento total dos processos de tratamento os quais o envolverão.

Para tanto, uma importante atitude que deve ser adotada pelo DPO é a constante integração com o Departamento de TI da empresa, visando a criação de mecanismos técnicos os quais garantam a proteção efetiva dos dados e a eliminação de qualquer falha na segurança que venha a ocorrer.

A fim de cumprir com suas responsabilidades, é valioso para a empresa que o DPO não possua outros cargos ou funções paralelas que possam expressar conflitos de interesse. O foco é manter o profissional 100% dedicado às suas competências relacionadas à proteção de dados.

Dito isso, o Encarregado necessita de autonomia e independência em suas ações, não podendo sofrer penalidades unicamente decorrentes do exercício de suas funções.

Além disso, o DPO não poderá também ser responsabilizado, na condição de pessoa física, pelo cumprimento ou não de suas funções exigidas pela Lei. A exceção, claro, é nas hipóteses de comprovação de atitudes de má-fé e desacordos com orientações de seu empregador.

Finalmente, cabe apontar que a responsabilidade final de cumprir com o exposto na LGPD é do controlador e do operador da empresa, mas o DPO é uma peça fundamental nesses procedimentos.

Qualificações do Encarregado pelo Tratamento de Dados

Inicialmente, o regulamento europeu não fixou requisitos mínimos de formação profissional para integrar o cargo de DPO, porém o GDPR aponta a necessidade de se ter conhecimento específico sobre leis e práticas de proteção de dados.

A LGPD baseou-se no GDPR nesse quesito, não expressando diretamente formações acadêmicas necessárias.

Nesse sentido, vale apontar que o Encarregado é o profissional que deve entender mais sobre as legislações que envolvem proteção de dados pessoais no Brasil e no mundo. No entanto, não necessariamente precisa ser ter formação superior em Direito.

É aconselhável que o profissional tenha experiência em governança na organização interna da empresa, além de conhecimento amplo acerca de segurança da informação. A capacidade de interagir com a equipe interna e com autoridades externas também é importante.

Dessa forma, percebe-se que o DPO precisa ter conhecimento amplo de diversas áreas: Direito, infraestrutura, TI, gestão de processos, administração, comunicação...

Dito isso, cabe expor algumas certificações que ganharam destaque dentro do ambiente empresarial, devido à grande demanda de profissionais capacitados para o cargo de DPO.

  • O “Privacy & Data Protection Foundation” (PDPF),relacionado com o aprofundamento dos regulamentos europeus, possuindo um comparativo essencial com as legislações brasileiras.

  • O “Privacy & Data Protection Pratictioner” (PDPP) é um certificado de conclusão avançada nos cursos de formação do DPO, representando uma etapa final.

  • Já em relação a cursos focados nas legislações brasileiras, o “Privacy & Data Protection Essentials” (PDPE) se concentra no conhecimento aplicado da LGPD e nas exigências legais presentes no país.

Diante do exposto, fica clara a importância do Data Protection Officer para qualquer empresa que realize processamento de dados pessoais.

As empresas que descumprirem os regulamentos e não alocarem corretamente um Encarregado poderão sofrer sanções e penalidades dispostas em lei.As previsões legais incluem desde advertências até multas.

Logo, as empresas precisam concentrar esforços para se adequarem corretamente às disposições legais, corroborando para a formação de um ambiente seguro e próspero em relação à proteção de dados pessoais.

Por se tratar de uma tarefa complexa e multidisciplinar, a assessoria jurídica especializada é um bom auxílio, ao conferir conhecimentos técnicos e práticos de como implementar o cargo do DPO da maneira mais precisa dentro de uma empresa.

Nome do autor:

Rafael Foschetti Meirelles

Referências bibliográficas:

ANDRION, Roseli. Quem é o DPO? É o profissional que vai cuidar dos dados dos cidadãos. Olhar Digital, 20 de agosto de 2019. Disponível em: <https://olhardigital. com.br/noticia/quem-e-o-dpo-o-profissional-que-vai-cuidar-dos-dados-dos-cidadaos/89399>. Acesso em: 18 de julho de 2020.


BRASIL. Lei n° 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Diário Oficial da União: pág. n° 29, de 15 de agosto de 2018.

DE OLIVEIRA, Jaqueline Simas. O Data Protection Officer - DPO. Migalhas, 25 de maio de 2018. Disponível em: <https://www.migalhas.com.br/depeso/280808/o-data- protection-officer-dpo>. Acesso em: 18 de julho de 2020.

EUR-LEX. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (Regulamento Geral sobre Proteção de Dados). Jornal Oficial da União Europeia, L 119/1, de 27 de abril de 2016. Disponível em: <https://eur-lex.europa.eu/legal-cont ent/PT/TXT/?uri=celex%3A32016R0679>. Acesso em: 18 de julho de 2020.

FIA. DPO (Data Protection Officer): o que é, funções e como se tornar. FIA, 7 de janeiro de 2020. Disponível em: <https://fia.com.br/blog/dpo/>. Acesso em: 18 de julho de 2020.

O QUE É DATA PROTECTION OFFICER (DPO) e por que sua empresa precisa de um. Mundo mais tech, 26 de agosto de 2019. Disponível em: <https://mundomais tech.com.br/seguranca/o-que-e-data-protection-officer-dpo-e-por-que-sua-empresa-precisa-de-um/>. Acesso em: 18 de julho de 2020.

QUEM É O DPO? Conheça o novo guardião dos dados pessoais. LGPD Brasil, 4 de fevereiro de 2020. Disponível em: <https://www.lgpdbrasil.com.br/quem-e-o-dpo- conheca-o-novo-guardiao-dos-dados-pessoais-2/>. Acesso em: 18 de julho de 2020.


Advocatta - Empresa Júnior de Pesquisas em Direito

Universidade de Brasília - UnB

  • Facebook - Círculo Branco
  • Instagram - White Circle
  • LinkedIn - Círculo Branco