Com a LGPD, surgiu no mercado um novo cargo: o encarregado da proteção de dados (DPO), função já reconhecida pela classificação brasileira de ocupação (CBO).

A figura do Encarregado da Proteção de Dados, também denominado como “Data Protection Officer" (DPO) pela GDPR, está prevista na Lei nº 13.709/2018, Lei Geral de Proteção de Dados (LGPD) em seu art 5º, VIII, cuja vigência teve grande parte iniciada em 18/09/2020, surgindo com ela uma nova modalidade de empregado, e ainda uma nova possibilidade de prestação de serviços.

A LGPD prevê que o Encarregado de Proteção de Dados ou DPO será uma “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

A Lei não limitou a atuação do Encarregado apenas por pessoa natual. Isto quer dizer que o Encarregado de Proteção de Dados pode ser tanto pessoa física quanto pessoa jurídica, resultando no surgimento no mercado de diversas empresas prestadoras de serviços terceirizados de DPO, que convencionou-se chamar de “DPO as a service”, ou seja, como prestador de serviço.

Além da possibilidade da prestação de serviços com pessoa jurídica, as empresas interessadas em manter em seu quadro de funcionários poderão contratar um profissional como empregado registrado em carteira, pois a função de Encarregado de Proteção de dados foi incluída, em Julho deste ano, com ocupação na Classificação Brasileira de Ocupações (CBO), com início em 2022.

O CBO é importantíssimo para reconhecer a existência da profissão no Brasil, além de ser obrigatório em registros administrativos para fins de estatísticas e políticas de trabalho.

Assim, com empregados, os Encarregados poderão disfrutar de benefícios em ter a profissão reconhecida, podendo, inclusive se utilizar do nome em inglês como “DPO – Data Protection Officer” que se popularizou no Brasil.

A função de Encarregado da proteção de dados, apesar de nova no cenário produtivo-trabalhista, ganha forças com o seu reconhecimento pela CBO, e, muito embora ainda não existam parâmetros na doutrina e na jurisprudência, com o enfrentamento concreto das questões relacionadas ao contrato de trabalho desse profissional, deve-se ter a máxima consideração com os aspectos acima mencionados, não sendo recomendado o acúmulo de funções, mesmo mediante acréscimo salarial.

A Lei menciona quais são as atividades a serem desempenhadas pelo Encarregado: aceitar reclamações e comunicações dos titulares dos dados; prestar esclarecimentos; adotar providências; receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD); orientar funcionários e contratados a respeito das práticas quanto à proteção de dados; executar demais atribuições determinadas pelo controlador.

Por enquanto, como a ANPD ainda está realizado consulta pública sobre o assunto, todas as empresas estão obrigadas a nomear um DPO, tanto as organizações públicas quanto as privadas, independentemente do porte da entidade ou volume de dados pessoais tratados.

Sobre o desempenho da atividade de Encarregado, há a necessidade de conhecimento técnico do negócio em que está inserido, da área de tecnologia e da legislação vigente. A integridade e o bom relacionamento também são características fundamentais, pela necessidade do DPO de transitar por todas as áreas da organização que tratem dados pessoais.

A função do Encarregado da proteção de dados é de extrema importância para o cumprimento da LGPD, portanto, o profissional deve ter conhecimento acerca da legislação da proteção de dados e da tecnologia da informação. A legislação ainda não obriga que o profissional possua uma certificações como Data Protection Officer, no entanto, já se vislumbra que no futuro a ANPD possa a vir a recomendar que este profissional detenha de um certificado para comprovar os seus conhecimentos para estar ocupando o cargo de DPO, e o conhecimento sobre a matéria é fundamental para evitar e minimizar os riscos que os incidentes de segurança possam causar.

Na prática, têm-se visto que a contratação de um serviço terceirizado de Encarregado da Proteção de Dados não tem atendido por contendo às especificações das empresas.

Nestes casos, a escolha de um Encarregado da Proteção de Dados, que seja pessoa física, preferentemente subordinada e que compreenda bem a dinâmica organizacional da empresa em que irá atuar com privacidade e proteção de dados pessoais, tem se mostrado boa alternativa.

Seja pessoa jurídica ou pessoa física (ou seja empregado), a contratação do DPO deve ser formalizada através de um contrato, onde deverão constar as obrigações e responsabilidades do Encarregado, e as atividades a serem desempenhadas deverão estar claramente expostas no contrato e nos demais documentos empresariais (job descriptions), bem como cláusulas de confidencialidade e sigilo, já que ele terá acesso a uma infinidade de dados pessoais, sejam dos clientes das empresas, como também dos demais empregados da organização.


Autor

  • Roberta Luna Cerqueira Campos

    Advogada, DPO -Data Protection Offocer Certificada -EXIN, Pós graduada em Direito e Processo do Trabalho, Pós graduada em Direito Digital e Proteção de Dados, certificação em Cyber Conflicts pela New York State University, certificação ISO 27001EXIN, certificação PDPF EXIN, certificação PDPP EXIN, Membro do Comitê Judírico da ANPPD - Associação Nacional dos Profissionais de Privacidade de Dados. Membro da Comissão Nacional de Direito do Trabalho da Associação Brasileira de Advogados - ABA.

    Textos publicados pela autora

    Fale com a autora


Informações sobre o texto

Como citar este texto (NBR 6023:2018 ABNT)

CAMPOS, Roberta Luna Cerqueira. Novo cargo surge no mercado de trabalho: o encarregado da proteção de dados (DPO). Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 26, n. 6674, 9 out. 2021. Disponível em: https://jus.com.br/artigos/93782. Acesso em: 6 dez. 2021.

Comentários

0

Autorizo divulgar minha mensagem juntamente com meus dados de identificação.
A divulgação será por tempo indeterminado, mas eu poderei solicitar a remoção no futuro.
Concordo com a Política de Privacidade e a Política de Tratamento de Dados do Jus.

Regras de uso