DPO (Data Protection Officer) na LGPD

Deveres e Responsabilidades
 ❖
Disponibilizamos também um
DIAGNÓSTICO DE RISCO DA LGPD.

Acesse:
www.getprivacy.com.br/diagnostico

Sobre este material

Este é um material de caráter informativo

produzido pela Get Privacy, empresa que
oferece soluções de ponta a ponta para
adequação à LGPD.

Visite getprivacy.com.br para saber mais.

2
Sobre a Get Privacy

A Get Privacy surgiu em 2019,

da união do escritório de
advocacia Brotto Campelo e
da empresa de tecnologia da
informação Sauk, extraindo o
melhor dos dois mundos no
oferecimento de soluções
personalizadas em proteção www.getprivacy.com.br
de dados pessoais e LGPD.
+55 (41) 2391-0966

contato@getprivacy.com.br

Equipe
Natália Brotto João Guilherme Viviane Vinagre Felipe de Lara Bárbara Carneiro
CEO & Advogada C. de Mello Advogada Coord. Segurança Advogada
Vice-President Da Informação

3
05 O que é a LGPD 22 Quem pode ser nomeado DPO na sua empresa?

06 A LGPD afeta quais empresas 23 DPO as a service da Get Privacy

07 A figura do DPO ou encarregado 25 Outros conceitos básicos da LGPD

08 Introdução 26 Dado pessoal

O papel do DPO como canal de

09 comunicação e intermediador 27 Dado pessoal sensível

10 Atores na LGPD: Controlador, Operador e DPO 28 Princípios da LGPD

11 Atores na LGPD 29 Bases legais

12 A figura do controlador na LGPD 30 Conclusão

14 A figura do operador na LGPD 32 Contato

16 A figura do encarregado ou DPO na LGPD

18 O cargo de DPO é obrigatório?

19 Como escolher o DPO

20 Requisitos que ajudam a definir ou contratar o DPO

Sumário
O que é a LGPD

EM VIGOR DESDE SETEMBRO

de 2020, a LGPD é a Lei Geral de
Proteção de Dados que define
direitos, deveres e princípios que
envolvem o uso de dados
pessoais em solo brasileiro.

Na prática, a LGPD regulamenta

como as empresas que atuam
no Brasil devem agir em relação
ao tratamento de dados
pessoais e sensíveis.

O foco é a proteção dos direitos

da pessoa natural, denominada
titular de dados.

O titular pode, inclusive, requerer

informações sobre o uso de seus
dados e para quais finalidades
são usados.

5
Quais empresas devem se adequar

A LGPD É APLICÁVEL A QUALQUER

operação de tratamento de
dados realizada por pessoa
natural ou por pessoa jurídica
de direito público ou privado,
independentemente do meio,
do país de sua sede ou do país
onde estejam localizados os
dados, desde que:

(1) Realize operação de

tratamento de dados pessoais
em território brasileiro.

(2) Colete dados no Brasil, ou

(3) Tenha por objeto a oferta

ou o fornecimento de bens ou
serviços ou o tratamento de
dados de indivíduos
localizados no território
nacional.

6
A figura do DPO
ou Encarregado

7
Introdução
O ENCARREGADO É UMA DAS
principais novidades que foram
instituídas pela LGPD.
Ele é uma peça fundamental no
processo de adequação e
conformidade à lei.
De acordo com o Art. 5º da
LGPD, o encarregado é a:
“Pessoa indicada pelo
controlador e operador para
atuar como canal de
comunicação entre o
controlador, os titulares dos
dados e a Autoridade Nacional
de Proteção de Dados (ANPD)”.
A LGPD determina, inclusive, que
a nomeação do encarregado é
obrigatória.
Ou seja, todas as empresas
precisam indicar o
encarregado, que também é
conhecido aqui em solo
brasileiro como DPO (Data
Protection Officer).
A propósito, o termo DPO foi
importado da Europa, mais
precisamente da GDPR
(General Data Protection
Regulation), a lei europeia de
proteção de dados.
A GDPR acabou sendo a
principal referência para a
criação da LGPD.
Neste e-book, nós ajudamos
você a entender qual é o
papel e quais são os deveres e
responsabilidades do DPO.
8
 DPO é um intermediador

Titulares dos Dados

Empresa DPO
(Controlador) Data Protection Officer
ANPD
(Autoridade Nacional de
Proteção de dados)

9
Atores na LGPD
Controlador,
Operador e
DPO

10
Atores na LGPD

A FUNÇÃO DO DPO ESTÁ

diretamente relacionada a
outros dois atores da LGPD:

● Controlador, e
● Operador.

Portanto, não é possível

compreender o escopo de
atuação do DPO sem
antes entender quem são
estes dois agentes de
tratamento de dados e qual é
o papel deles perante a lei.

Falaremos mais sobre eles

nas páginas a seguir.

11
A figura do controlador

O CONTROLADOR É DEFINIDO, Feita esta introdução, fica fácil

segundo o Art. 5º da LGPD,
como a:
“Pessoa natural ou jurídica, de
direito público ou privado, a
quem competem as decisões
referentes ao tratamento
de dados pessoais”.
de perceber que o controlador
é a parte mais interessada no
tratamento dos dados e,
justamente por isso, tem a
maior responsabilidade em
relação ao tratamento.

Na prática, o controlador é a
empresa que coordena e
define como será realizado o
tratamento dos dados
pessoais de clientes,
funcionários, colaboradores,
parceiros e outros.

Quando usamos a palavra

“tratamento”, estamos nos
referindo a todo o ciclo de uso
do dado pessoal, da coleta
até a eliminação.

12
Papel do controlador
A PRINCIPAL ATRIBUIÇÃO DO
controlador é garantir que as
normas e os princípios
estabelecidos pela LGPD
estejam sendo respeitados.
O controlador deve garantir a
transparência e o diálogo com
o titular dos dados. Ou seja,
precisa deixar clara as suas
intenções ao coletar dados e
facilitar a comunicação.
Inclusive, o controlador tem
responsabilidade sobre o
operador, tendo como dever
orientá-lo para que o
tratamento dos dados pessoais
ocorra de acordo com as
determinações da lei.
Em casos de danos, o
controlador pode responder
solidariamente pelos prejuízos
causados pelo operador.

Tendo em vista o seu interesse

em tratar os dados, é ele
também que responde por
danos patrimoniais, morais,
individuais ou coletivos, assim
como qualquer outro tipo de
violação ou desacordo aos
termos da LGPD.

13
A figura do operador

NO ART. 5º DA LGPD, CONSTA A

seguinte definição para o
conceito de operador:

“Pessoa natural ou jurídica, de

direito público ou privado, que
realiza o tratamento de dados
pessoais em nome do
controlador”.

Em outras palavras, o operador

é a empresa que processa e
trata os dados pessoais sob as
ordens do controlador.

14
Papel do operador
ALÉM DE RESPEITAR E CUMPRIR
com o que determina a LGPD,
o operador cumpre ordens e
trabalha para o controlador.
Portanto, deve realizar o
tratamento de dados não
apenas de acordo com as
obrigações da lei, seguindo os
princípios e as bases legais,
mas também deve respeitar
as diretrizes e a política de
segurança e privacidade do
controlador.
Nestes exemplos, a empresa
que contrata o serviço é o
controlador, já a empresa de
call center ou geração de leads
seria o operador.
Do mesmo modo, o operador
também responde por danos
patrimoniais, morais, individuais
ou coletivos, assim como
qualquer outro tipo de violação
ou desacordo à LGPD, podendo
responder solidariamente.

Dois exemplos que facilitam

a compreensão sobre a
função do operador são as
empresas de call center e as
empresas que trabalham
com geração de leads.

15
A figura do DPO
SEGUNDO CONSTA NA LGPD,
o encarregado ou DPO é a:
“Pessoa indicada pelo
controlador e operador para
atuar como canal de
comunicação entre o
controlador, os titulares dos
dados e a Autoridade Nacional
de Proteção de Dados (ANPD)”.
Ele é o responsável por atuar
como uma espécie de fiscal da
lei dentro da empresa.
O DPO deve atuar com
independência para orientar
de maneira técnica e embasar
as decisões corporativas para
que estejam aderentes à LGPD.
Este ponto, inclusive, é muito
importante para cumprir com os
requisitos da lei: a necessidade
de independência técnica e
hierárquica do DPO.
Isto quer dizer que não é
recomendado que haja o
acúmulo de funções na escolha
do DPO, o que pode gerar
confusões e conflitos.
Além disso, segundo o Art. 41 da
LGPD, “a identidade e as
informações de contato do
encarregado deverão ser
divulgadas publicamente, de
forma clara e objetiva,
preferencialmente no sítio
eletrônico do controlador”.
16
 Papel do DPO
CONFORME ESTÁ PREVISTO
no Art. 41 da LGPD, o DPO
deve exercer as seguintes
atividades na empresa:

I II
Aceitar reclamações e
comunicações dos titulares,
prestar esclarecimentos e
adotar providências;
Receber comunicações da
autoridade nacional e
adotar providências;

III IV
Orientar os funcionários e
Executar as demais
os contratados da entidade
atribuições determinadas
a respeito das práticas a
pelo controlador ou
serem tomadas em relação
estabelecidas em normas
à proteção de dados
complementares.
pessoais; e

17
O cargo de DPO é obrigatório?
SIM, O DPO É UMA FUNÇÃO
obrigatória para todas as
empresas, independentemente
do porte e da área de atuação.
A LGPD, entretanto, aponta que
a ANPD poderá dispor sobre a
sua dispensa ou desobrigação
em situações específicas ou
casos determinados.
“ A autoridade nacional
poderá estabelecer normas
complementares sobre a
definição e as atribuições do
encarregado, inclusive hipóteses
de dispensa da necessidade de
sua indicação, conforme a
natureza e o porte da entidade
ou o volume de operações de
tratamento de dados”.
No entanto, ainda que uma
regulamentação da ANPD
venha a eliminar a
obrigatoriedade legal, a
presença do DPO costuma ser
bem vista pelo mercado e
pelos clientes. Além disso,
configura boa prática para a
manutenção do programa de
conformidade da organização.
18
Como escolher o DPO

O DPO DEVE SER DESIGNADO

com base em qualidades
profissionais e, principalmente,
em seus conhecimentos
especializados no domínio
do Direito e/ou de práticas
de privacidade e de
proteção de dados.

Na prática, o cargo tem sido

ocupado por:

● Advogados,
● Consultores, e
● Profissionais de segurança
da informação.

De fato, é necessária uma

multidisciplinaridade para a
boa execução das atividades.

19
Requisitos que ajudam a
definir ou contratar o DPO

PARA FACILITAR A NOMEAÇÃO Experiência em

do DPO, nós criamos uma lista Privacidade e/ou Proteção
com algumas habilidades ou O profissional ideal deve ter
características fundamentais conhecimentos prévios em
para a escolha do profissional. alguns dos seguintes campos:
privacidade, proteção
de dados, segurança da
Conhecimentos na Área
informação e/ou TI
O DPO deve se interessar
(tecnologia da informação).
pelos processos, pelas
atividades e pelo ciclo dos
Gestão de Riscos
dados dentro da empresa.
Uma qualidade importante
Além disso, deve aprender
do DPO é estar habilitado
sobre o setor de atuação
para criar e conduzir
da empresa.
projetos de gerenciamento
ou gestão de riscos.
Atuação como DPO
Ter tido experiências já
como DPO ou em projetos de
conformidade a leis facilita
muito o processo de escolha.

20
Gerenciamento de Projetos
Ter conhecimentos ou
afinidade com gerenciamento
de projetos é outra qualidade
fundamental de um DPO, que
vai precisar se comunicar com
diversos setores da empresa.

Certificações
Possuir certificações é outro
ponto. Existem vários tipos de
certificações no mercado que
validam conhecimentos em
privacidade, segurança e
proteção de dados.

Versátil e Observador
Como lida com um universo
grande de pessoas e de
diferentes departamentos, o
DPO precisa ter a habilidade
de se ajustar rapidamente a
diferentes situações. Para isto,
precisa ser observador.

21
Quem pode ser nomeado
DPO na sua empresa?

DPO interno.
DPO as a Service.

Pelo nível de especialização, por

segurança jurídica e também
pelo custo benefício, muitas
empresas têm optado pela
contratação de profissional
externo na modalidade de DPO
as a Service.

Muitas empresas também têm

optado por contratar uma
consultoria especializada em
LGPD para conduzir projetos de
adequação e conformidade à
lei, o que pode incluir por vezes
orientação na escolha do DPO.

22
DPO as a Service

DPO AS A SERVICE É UM SERVIÇO

oferecido pela Get Privacy
que permite a contratação
de um DPO profissional.

Funciona da seguinte maneira:

nós designamos um dos nossos
especialistas em proteção
e privacidade de dados para
assumir o cargo de DPO
na sua empresa.

É um trabalho que pode ser

realizado à distância e também
in loco, dependendo da
necessidade da sua empresa.

A Get Privacy é focada em LGPD,

oferecendo diversos tipos de
serviços relacionados à lei. Além
disso, tem expertise
comprovada de mercado, com
clientes de diferentes tamanhos
e em vários setores de atuação.

23
A grande vantagem do DPO ● Gerenciamento do programa de
as a Service é o custo-benefício, privacidade e segurança de dados.
já que você tem um profissional
● Definição e atualização do Data
experiente à sua disposição sem
Mapping da empresa.
ter que arcar com todas
as burocracias e custos. ● Elaboração do Relatório de Impacto à
Proteção de Dados Pessoais.
O DPO as a Service é uma
● Orientação e treinamento do seu time em
maneira inteligente de otimizar
temas ligados à segurança e privacidade.
custos e pessoal, e manter-se
em conformidade com a LGPD ● Fiscalização da conformidade com a LGPD.
sabendo que a empresa tem o
● Monitoramento de mudanças e novas
respaldo de um expert na área.
regulamentações da LGPD.

Este especialista em proteção ● Mediação entre os titulares dos dados,

e privacidade de dados vai a empresa e a ANPD.
ajudar e orientar a sua empresa ● Recebimento das comunicações da ANPD,
em diferentes frentes de adotando as providências necessárias.
trabalho, como, por exemplo:

❖
Quer saber mais sobre DPO as a Service?
getprivacy.com.br/dpo-as-a-service
+55 (41) 2391-0966

24
Outros conceitos
básicos da LGPD
Dado pessoal

DADO PESSOAL É TODA Exemplos de Dado Pessoal

INFORMAÇÃO que identifique ou
● Nome;
permita identificar uma pessoa
● Endereço;
natural (física). Fragmentos de
● RG e CPF;
informação que, quando
● Dados de localização;
postos juntos, em determinado
● Dados obtidos através de
contexto, permitam a
cookies de um site;
identificação de uma pessoa
● Endereço de IP;
também são dados pessoais.
● E-mail;
● Idade.

A lei não se aplica aos dados de pessoa

! jurídica, às informações confidenciais e
sigilosas ou patentes, já protegidos sob
outras regulamentações.

26
Dado pessoal sensível

Dentro do conjunto de dados

pessoais, há o dado pessoal
sensível, que leva esse nome
porque pode ser relacionado a
situações de vulnerabilidade e
discriminação, exigindo um
regime jurídico diferenciado e
mais reforçado.

Exemplos de Dado Sensível

● Origem racial ou étnica;

● Convicção religiosa;
● Opinião política;
● Filiação a sindicato ou a
organização de caráter
religioso, filosófico ou político;
● Dado referente à saúde
ou à vida sexual;
● Dado genético ou biométrico.

27
 Princípios da LGPD

NO ART. 6º, A LGPD DETERMINA

10 princípios básicos que
devem nortear o tratamento
de dados pessoais.

1. Finalidade
2. Adequação
3. Necessidade
4. Livre acesso
5. Qualidade de Dados
6. Transparência
7. Segurança
8. Prevenção
9. Não discriminação
LGPD
10. Responsabilização e
Prestação de Contas

28

COM A ENTRADA EM vigor da
LGPD, o tratamento de dados
pessoais só é considerado
legal se, além de cumprir
os princípios previstos na
lei, atender a pelo menos
uma hipótese, a
chamada base legal.
Bases Legais
1. Consentimento
2. Cumprimento de obrigação
legal ou regulatória
3. Execução de políticas públicas
4. Estudos por dado de pesquisa
5. Execução do contrato ou
procedimentos preliminares
6. Exercício regular de direitos
em processo
7. Proteção da vida ou
incolumidade física
8. Tutela da saúde
9. Interesse legítimo
10. Proteção de crédito
29
Conclusão
Considerações Finais
A NOMEAÇÃO DO DPO PRECISA
levar em consideração muitos
aspectos, incluindo habilidades
específicas do profissional,
conhecimentos em segurança
e privacidade, e até
independência dentro
da empresa para trabalhar.
Considerando este último fator,
inclusive, caso a empresa
decida por um DPO interno, vale
reforçar a orientação:
É recomendado e considerado
uma boa prática que o
profissional escolhido não
desempenhe funções que
possam conflitar com as
atividades de DPO.
Mas quais funções poderiam
gerar conflito de interesse?
Podemos citar como
exemplos os cargos de CEO,
CIO, CTO e diretor de Recursos
Humanos ou de Marketing.
Agora, caso a empresa decida
pelo DPO externo, a Get
Privacy está pronta e
qualificada para assumir a
função, com certificação e
experiência comprovada.
Entre em contato para saber
mais sobre o serviço e solicitar
um orçamento para a sua
empresa sem compromisso.
Para finalizar o assunto, a
escolha do DPO não deve ser
vista apenas como uma
obrigação ou requisito legal.
A definição deve ser vista
também como diferencial
competitivo e de
comprometimento com
políticas de boas práticas e
transparência para com
clientes, funcionários,
colaboradores, parceiros e
também a sociedade.
31
 +55 (41) 2391-0966

contato@getprivacy.com.br

www.getprivacy.com.br

Rua Luísa Dariva, 40 Campina do

Siqueira | Curitiba (PR) | CEP 80730-480

Assessoria Jurídica Compliance Segurança da Informação Consultoria DPO as a Service