O DPO é responsável por rastrear a conformidade com a LGPD pela organização. Nessa função, eles devem coletar informações que identifiquem as atividades de processamento que estão ocorrendo, garantir que essas atividades satisfaçam os princípios de proteção de dados previstos na lei e aconselhar o controlador ou processador de acordo.
Como tal, o DPO desempenha um papel central na manutenção de registros relativos à proteção de dados na organização. A função deve criar inventários e registros que detalhem as operações de tratamento de dados pessoais dos vários departamentos da organização. Claramente, esses registros não são apenas necessários para que a organização cumpra suas obrigações de responsabilidade abrangentes, mas também são necessários para que o DPO desempenhe suas funções.
O DPO também desempenha importante papel ao aconselhar o controlador em relação a questões relacionadas à avaliação do impacto da proteção de dados. O DPO deve aconselhar sobre a realização do DPIA, quais métodos devem ser usados na execução do DPIA e se é necessário contratar recursos externos para realizá-la. Após a conclusão do DPIA, o DPO deve informar se ele foi realizado de forma satisfatória e como proceder diante de suas conclusões. Se, por exemplo, riscos significativos forem identificados em algumas operações de processamento, eles devem aconselhar se essas operações devem ser interrompidas e quais salvaguardas devem ser implementadas para garantir que a conformidade seja alcançada.
O DPO é o elo entre a organização, as autoridades de supervisão e os titulares dos dados. Facilita o acesso da autoridade supervisora a documentos e informações que lhe permitam desempenhar sua função fiscalizadora, bem como exercer seus poderes investigativos, corretivos, autorizativos e consultivos. O fato de o DPO estar vinculado a obrigações de confidencialidade no exercício das suas funções não o impede de recorrer, sempre que necessário, ao aconselhamento das autoridades de supervisão. Em algumas situações, será necessário encontrar um equilíbrio cuidadoso entre essas duas prioridades. O DPO é também o ponto de contato dos titulares dos dados sobre questões relacionadas com o tratamento dos seus dados, incluindo a aplicação dos seus direitos conforme previsto na LGPD. É importante que o DPO possa ser facilmente acessado pelos titulares dos dados, seja por telefone, e-mail ou outro canal específico. Além disso, o DPO deve aconselhar e treinar os funcionários da organização sobre a conformidade com a LGPD.
No desempenho de suas funções, o DPO deve adotar uma abordagem pragmática, concentrando-se em atividades de processamento de alto risco. Isso deve ser feito sem negligenciar as atividades que podem ser consideradas de menor risco. Nesse mister, o DPO deve, portanto, aconselhar o controlador sobre quais atividades requerem auditorias de proteção de dados e quais devem ser o foco da gestão quanto a medidas de segurança aprimoradas, treinamento regular de pessoal e alocação de recursos.
Independência do DPO e sua importância
A legislação de proteção de dados da EU – fonte da qual bebeu o legislador brasileiro para elaboração da LGPD – prevê que o DPO realize seu trabalho de maneira independente. No Brasil, a LGPD, em seu art. 41, §3º, deixa ao cargo da ANPD o estabelecimento de normas complementares sobre a definição e as atribuições do encarregado de dados.
É da essência da atividade do DPO a atuação técnica independente, mesmo se tratando de um cargo celetista. Em outras palavras, o controlador não deve orientar o DPO sobre como ele deve fazer seu trabalho, ou requerer que o DPO selecione riscos. Por exemplo, o DPO não pode ser instruído a chegar a uma conclusão específica sobre a investigação de uma reclamação. O DPO deve se reportar ao mais alto nível de gerenciamento. Idealmente, este deve ser o conselho de administração. O objetivo é garantir o cumprimento dos regulamentos, sendo que a administração dele receba aconselhamento oportuno sobre questões de proteção de dados. A razão dessa independência é o reconhecimento do papel fundamental que o DPO desempenha para garantir o cumprimento da legislação.
Para alcançar essa autonomia, o DPO deve ter segurança no trabalho. Não podem ser demitidos ou penalizados pelo controlador ou operador pelo exercício das suas funções típicas. Isso não significa que o DPO tenha estabilidade ou segurança permanente no emprego. Eles podem ser disciplinados ou até mesmo demitidos por outros motivos legítimos, como torpeza disciplinar, por exemplo.
A organização deve proporcionar ao DPO os recursos necessários ao desempenho satisfatório de suas funções (em termos de remuneração, equipe de apoio, ferramentas, tecnologias, acesso às informações, etc) o que também necessário para alcançar a independência inerente à função. Deve-se tomar cuidado para que a autonomia do DPO não seja comprometida, envolvendo-o em posições que possam levar a conflitos de interesses.
O DPO não é pessoalmente responsável pela não conformidade da organização, pois a responsabilidade geral é do controlador de dados, a menos, claro, que sejam comprovadas a ocorrência de culpa ou dolo (intenção de lesar).
Para cumprir as obrigações rígidas impostas aos controladores e operadores pela LGPD, é importante que as organizações que processam dados pessoais capacitem seus DPOs e trabalhem em estreita colaboração com eles, privilegiando os esforços de conformidade da organização.
