DPO

A PROFISSÃO DO
FUTURO DIGITAL

Saiba o que você precisa para se tornar

um Data Protection Officer
SUMÁRIO

APRESENTAÇÃO DO AUTOR .......................................................................................... 1

INTRODUÇÃO ........................................................................................................................ 3
DPO – DATA PROTECTION OFFICER ........................................................................ 4
A QUEM SE APLICA A LGPD .......................................................................................... 7
INTRODUÇÃO À LGPD .................................................................................................... 10
TRATAMENTO DE DADOS PESSOAIS ..................................................................... 11
TRANSFERÊNCIA INTERNACIONAL DE DADOS ............................................... 18
PRINCÍPIOS DA LGPD.................................................................................................... 19
DIREITOS DOS TITULARES DE DADOS ................................................................ 22
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS.................................... 24
PENALIDADES..................................................................................................................... 26
OS 6 PASSOS PARA ADEQUAÇÃO À LGPD .......................................................... 28
PRIVACY BY DESIGN ...................................................................................................... 32
VAZAMENTO DE DADOS E INCIDENTES .............................................................. 33
PROMESSA: A PROFISSÃO DO FUTURO............................................................... 34
CONCLUSÃO ......................................................................................................................... 46
APRESENTAÇÃO DO AUTOR

Leonardo Neri possui larga experiência em

Contencioso Cível e é altamente qualificado em
Direito Digital (DPO), Privacidade e Proteção de Dados
Pessoais, bem como Direito do Consumidor, além de
ser mestre na área de mídia, entretenimento e
esportes. Representa empresas nacionais e
multinacionais na resolução de litígios civis e
consumeristas. Atua no âmbito consultivo para
startups, na elaboração de pareceres sobre
legalização dos jogos e na implementação de
programas de conformidade com a Lei Geral de
Proteção de Dados (LGPD), na avaliação de riscos de demandas
administrativas e judiciais e, também, presta assessoria a clientes perante a
Justiça Desportiva, na prevenção e solução de litígios relacionados ao Direito
do Consumidor perante o Poder Judiciário, e em procedimentos judiciais e
arbitrais envolvendo questões de rescisão contratual, propriedade intelectual,
internet e doping. Leonardo contribuiu ao longo dos últimos anos na gestão
de carteira cível de players com segmentos distintos de atuação empresarial.
Palestrante, possui canal no Youtube e Autor de diversos artigos sobre temas
relacionados à inovação e consumo na nova economia, apostas esportivas,
Lei Geral de Proteção de Dados e Direito Desportivo.

Reconhecimentos

• Advocacia 500 – Advogado mais

admirado na área de Direito do
Consumidor – 2016 e 2017

• Leaders League – Advogado

mais admirado na área de Direito do
Consumidor – 2019

1
Associações

Membro da Comissão de Direito Desportivo da OAB/SP

Formação Acadêmica

• Mestrado em Liderança e Negócios do Esporte pela Loughborough

University London;

• Pós-Graduação em Direito Desportivo pela Escola Superior de

Advocacia;

• Certificado em Administração de Empresas no curso de MBA pela

University of Birmingham – UK;

• Certificado em Privacidade e Proteção de Dados Pessoais pela EXIN; e

• Graduação em Direito pela Universidade Presbiteriana Mackenzie.

2
INTRODUÇÃO

Se você adquiriu esse conteúdo, certamente é porque ouvir falar sobre a nova
profissão do momento: DPO ou encarregado de dados. A instituição desse
novo cargo pela Lei Geral de Dados (LGPD) tem gerado muita curiosidade e
expectativas quanto às oportunidades que essa profissão pode oferecer.

Com a atual e emergente necessidade de instituir medidas de proteção aos

dados pessoais, tidos como a nova moeda forte do mercado, a criação do
cargo de DPO tem se mostrado uma das medidas mais importantes na
garantia dos direitos dos titulares, demonstrando a essencialidade de sua
contratação para que os agentes de tratamento estejam em conformidade
com a legislação.

A partir da leitura deste e-book, espero que você tenha suas principais
dúvidas esclarecidas, de maneira que, através do conhecimento, se sinta
mais confiante em ingressar nessa nova e promissora profissão: a de DPO.

3
DPO – DATA PROTECTION OFFICER

A LGPD exige que o controlador de dados indique um encarregado pelo

tratamento dos dados pessoais, também conhecido como Data Protection
Officer, ou DPO.

A obrigatoriedade e essencialidade da criação e manutenção de um novo

cargo dentro das empresas controladoras de dados fez crescer o interesse
daqueles que buscam o exercício de uma nova atividade promissora e ainda
escassa de profissionais.

Mas como saber se você se enquadra no perfil de DPO e, ainda, se você tem
interesse pelas atividades a serem exercidas? Para te auxiliar nessa análise,
trazemos abaixo as principais informações sobre essa nova função, criada
pela LGPD.

Atividades Desempenhadas

O encarregado de dados atuará em diversas frentes, ficando responsável pelo

mapeamento e registro dos fluxos de tratamento de dados pessoais pela
controladora, implementação de procedimentos de adequação por todos os
setores envolvidos no tratamento dos dados pessoais, além de promover a
interação entre a controladora e os titulares de dados e a autoridade nacional.

Para tanto, o DPO terá suas informações de contato divulgadas publicamente

pelo controlador, preferencialmente em seu website, de forma a viabilizar sua
atuação no intermédio da comunicação entre o controlador, os titulares de
dados e a Autoridade Nacional de Proteção de Dados (ANPD).

4
 DPO

ANPD /
Controlador
Titular

Além disso, o DPO também atuará internamente, adotando medidas

necessárias à implantação de adequações pelo controlador para assegurar a
proteção de dados pessoais. De modo geral, o DPO tem a importante tarefa
de administrar a trajetória dos dados pessoais dentro da empresa
controladora.

Como principais atribuições, o DPO deverá:

Aceitar reclamações e comunicações dos titulares, prestar

esclarecimentos e adotar providências;

Receber comunicações da autoridade nacional e adotar

providências;

Orientar funcionários e os contratados da entidade a respeito das

práticas a serem tomadas em relação à proteção de dados
pessoais; e

Executar as demais atribuições determinadas pelo controlador ou

estabelecidas em normas complementares.

5
É importante que o encarregado de dados exerça suas atividades com plena
autonomia e total acesso às informações, atuando também como fiscal dos
atos praticados pela controladora, em defesa da proteção dos dados dos
titulares.

O DPO, no entanto, não é responsabilizado pela inobservância por parte do

controlador de procedimentos recomendados para proteção dos dados
pessoais.

Requisitos

A LGPD não lança requisitos para o exercício do cargo da DPO. No entanto,

recomenda-se que no mínimo tenha uma formação acadêmica.

Ainda, é necessário que o encarregado de dados tenha plenos conhecimentos

das atividades e dos processos praticados pela empresa no tratamento de
dados, além de entender a LGPD e suas exigências, bem como toda a
legislação que trata sobre o tema.

A expectativa de mercado é que o DPO tenha um perfil multidisciplinar, com

capacidade de desenvolvimento de habilidades técnicas em diversas áreas,
como jurídica, de tecnologia, segurança e compliance, além de aptidão para
comunicação e interação com diversas áreas.

Embora o texto original da LGPD estabelecesse a figura do DPO como pessoa

física, referida expressão foi suprimida pela Lei 13.853/19, que alterou
diversas disposições da LGPD. Desta forma, a função de DPO também poderá
ser assumida por pessoa jurídica.

Importante destacar que a LGPD também institui a contratação do DPO pelo

Poder Público como requisito obrigatório para o tratamento de dados
pessoais, ampliando ainda mais as oportunidades do cargo. No entanto, a Lei
não traz informações sobre a forma de contratação, o que ainda deverá ser
regulamentado.

6
A QUEM SE APLICA A LGPD

Após entender as funções e o perfil do DPO, é necessário entender a quem

se aplica a LGPD, ou seja, a quem se destinam os serviços do encarregado
de dados.

As disposições da Lei Geral de Proteção de Dados se aplicam a qualquer

pessoa física ou jurídica de direito público ou privado que exerça o tratamento
de dados pessoais, independentemente do meio, do país onde está sediada
ou de onde estejam localizados os dados.

São as hipóteses para aplicabilidade da LGPD:

Se a coleta ou o tratamento de dados for operacionalizado em

território nacional;

Se o tratamento de dados tiver como objetivo a oferta ou o

fornecimento de bens e serviços no território nacional;

Se o tratamento recair sobre dados pessoais de indivíduos

localizados no território nacional;

Importante esclarecer que se endente por tratamento toda operação que

envolva o dado pessoal, como, por exemplo, a coleta, compartilhamento,
classificação, processamento, armazenamento etc.

O agente de tratamento de dados será considerado controlador quando tiver

competência para tomar decisões referentes ao tratamento dos dados
pessoais. Por outro lado, se o agente é quem operacionaliza o tratamento de
dados, será considerado operador.

Considerando o atual cenário digital, é possível afirmar que poucas, ou quase

nenhuma, serão as empresas que não estarão sujeitas à LGPD, seja pelo
tratamento de dados de seus próprios funcionários, ou de seus clientes e
parceiros, não sendo necessário que a empresa tenha como atividade
principal a coleta e tratamento de dados, bastando que, em algum momento
de sua cadeia operacional, tenha acesso e realize o tratamento de dados
pessoais.

7
Portanto, os destinatários dos serviços de DPO, podem exercer atividades de
quaisquer segmentos, bem como podem estar estabelecidos em qualquer
lugar do mundo, assim como podem ter qualquer porte, inclusive pessoas
físicas, não sendo possível indicar uma única espécie de atividade como
público alvo dos serviços do DPO.

Essa diversidade de potenciais contratantes resulta no aumento das

oportunidades, permitindo que o encarregado de dados opte por atuar em
segmentos que já possui domínio e familiaridade, ou, ainda, que conheça
novos segmentos, se assim preferir.

No entanto, algumas atividades merecem especial destaque, sendo,

possivelmente, as áreas que sofrerão os maiores impactos com a LGPD. São
elas:

Segurança da informação;

Análise de dados;

Marketing;

Desenvolvimento de software;

Gerenciamento de produtos;

Jurídico;

Compliance;

8
 Recursos humanos;

Serviços e logística;

Vale lembrar que a LGPD não exige que o DPO seja uma pessoa física,
tampouco que exerça sua função internamente e de forma exclusiva,
possibilitando sua contratação por mais de uma empresa,
concomitantemente, o que pode ser viável ao atendimento de controladoras
de pequeno e médio porte, com baixo fluxo de tratamento de dados. Portanto,
o DPO não necessariamente precisa atuar em grandes empresas.

9
INTRODUÇÃO À LGPD

Agora que você já entendeu qual é o trabalho a ser desempenhado pelo DPO,
bem como quais são suas oportunidades e áreas de trabalho, é necessário
entender o que é a LGPD, e quais seus elementos, já que ela será sua
principal ferramenta de trabalho.

A Lei Geral de Proteção de Dados (Lei 13.709/18) teve origem na General

Data Protection Regulation (GDPR), legislação europeia criada em 2016, após
anos de debates sobre a necessidade de tornar mais rígidas as regulações
sobre o direito de privacidade e economia digital.

Não são recentes as discussões sobre o assunto, já que há muitos anos se

verifica o aumento da vulnerabilidade de dados pessoais, ante o crescimento
rápido da digitalização. No entanto, somente com o surgimento de escândalos
digitais internacionais é que a atenção mundial voltou à criação de legislações
e regulamentações para proteção da privacidade.

No Brasil, antes da criação da LGPD foi criado o Marco Civil da Internet, Lei
nº 12.965/2014, que dispõe sobre princípios, garantias, direitos e deveres
para o uso da internet no Brasil. No entanto, o Marco Civil da Internet não
conta com disposições específicas de proteção de dados pessoais,
considerados a nova moeda forte de mercado.

Diante da potencial e lucrativa comercialização de dados pessoais, o Brasil

criou em 2018 a LGPD, inspirada nas disposições da GDPR, vigente na
Europa. A atual previsão é que a legislação entre em vigor em maio de 2021,
sendo que as sanções ficarão para agosto de 2021, período concedido para
adequação pelas empresas.

A LGPD tem como objetivo garantir a proteção de dados pessoais por meio
de imposição de medidas mais severas, de forma e evitar a banalização de
informações pessoais como meio de obter lucro, bem como para garantir os
direitos fundamentais constitucionais à privacidade e à vida privada.

10
TRATAMENTO DE DADOS PESSOAIS

Esclarecidas as origens da LGPD, bem como que seu objetivo é a proteção de

dados pessoais, você deve estar se perguntando o que são os dados pessoais
e como devem ser tratados.

Dados pessoais são todas as informações relativas a uma pessoa natural, em

conjunto ou isoladamente, seja sobre seus endereços, documentos,
profissão, preferências, raça, religião, localizações, situação financeira, e
quaisquer outras informações das mais diversas naturezas. Sempre que for
possível associar uma informação a uma pessoa natural determinada,
estaremos diante de um dado pessoal.

A LGPD define, de forma abrangente, o dado pessoal como “informação

relacionada a pessoa natural identificada ou identificável”.

Desta forma, para ser considerado dado pessoal, não é necessária a imediata
identificação do titular através da informação, sendo suficiente que se
permita identificar determinado comportamento ou ação pessoal do
indivíduo. Exemplo disso é a coleta de informações sobre as pesquisas
eletrônicas dos indivíduos, que permitem traçar seus hábitos de consumo.

São considerados dados pessoais, ainda, as informações que, dentro de um

conjunto, permitam identificar a pessoa natural.

Pode-se afirmar que dado pessoal é o atual ouro do século, visto, por muitos,
como uma das maiores fontes de lucratividade. O fornecimento de dados
permite que o agente de tratamento mapeie todas as informações relativas
ao titular, desde seus dados pessoais, até suas localizações em tempo real,
dados bancários e informações de consumo, permitindo que empresas
estudem e entendam os hábitos pessoais e de consumo da população, de
forma a adotar medidas mais assertivas de marketing e de criação de
produtos e serviços, além de tantas outras possibilidades que a posse de
dados pessoais permite àquele que os detém.

É exatamente por isso que a LGPD impõe medidas de segurança a serem

adotadas pelo agente de tratamento de dados, de forma a evitar a utilização

11
indevida de dados pessoais como forma de obter vantagem econômica em
detrimento do titular.

De modo geral, a LGPD estabelece dez hipóteses de autorização ao

tratamento de dados pessoais. São elas:

Mediante consentimento expresso do titular;

Para cumprimento de obrigação legal ou regulatória;

Para execução de políticas públicas pela administração pública;

Para realização de estudos por órgãos de pesquisa;

Para execução de contrato em que seja parte o titular;

Para o exercício regular de direitos em processos judiciais,

administrativos ou arbitrais;

Para proteção da vida do titular ou de terceiros;

Para tutela da saúde do titular;

Para atendimento de interesses legítimos do controlador, desde que

não violados os direitos do titular e apenas com relação aos dados
estritamente essenciais;

12
 Para proteção do crédito.

Ainda, dentro do amplo conceito de dado pessoal, a LGPD institui duas outras
classes de dados: o dado pessoal sensível e o dado anonimizado.

Dados Pessoais Sensíveis

A LGPD define o dado pessoal sensível como aquele que verse sobre:

Origem racial ou étnica Convicção religiosa

Opinião política Filiação a sindicato

13
 Filiação a organização de caráter Dados referentes à saúde ou à vida
religioso, filosófico ou político sexual

Dado genético ou biométrico

Por se tratar de informações de extrema intimidade, a lei prevê o tratamento

especial de dados sensíveis, de forma a evitar eventuais atos discriminatórios
contra seus titulares. Desta forma, para tratamento de dados sensíveis, o
agente de tratamento deverá obter junto ao titular seu consentimento
específico, detalhado e para finalidades específicas.

A LGPD prevê, ainda, a possibilidade de tratamento excepcional dos dados

sensíveis sem consentimento do titular nas seguintes hipóteses:

• Cumprimento de obrigação legal ou regulatória pelo

controlador
Sempre que a lei ou ato regulatório determinar o processamento de
determinados dados, ou, ainda, caso o cumprimento da lei ou ato
regulatório esteja condicionado ao tratamento de dados sensíveis, o
controlador estará dispensado da obtenção de consentimento
específico do titular.

• Tratamento de dados necessários à execução, pela

administração pública, de políticas públicas

14
 Se o tratamento de dados sensíveis for essencial à adoção de políticas
públicas legais por parte da administração pública, não será exigido o
consentimento do titular. Exemplo dessa exceção é a criação de
campanhas de inclusão social e de prevenção de doenças.

• Realização de estudos por órgão de pesquisa

Quando necessária a coleta e tratamento de dados sensíveis para
estudos realizados por órgãos de pesquisas, havendo impossibilidade
de obter o consentimento do titular, fica dispensada a anuência, desde
que garantido, sempre que possível, a anonimização dos dados
pessoais sensíveis.

• Exercício regular de direitos, inclusive em contrato e em

processo judicial, administrativo e arbitral
A exceção vale também para garantia de cumprimentos contratuais,
bem como para a prática de atos legítimos em procedimentos judiciais,
administrativos e arbitrais.

• Proteção da vida ou da incolumidade física do titular ou de

terceiro
Se o agente de tratamento estiver diante de uma situação em que seja
essencial o tratamento de dado sensível para garantir a segurança à
vida e à saúde do titular, ou, ainda, de terceiro, também estará
dispensado do consentimento, ante a urgência e essencialidade da
medida.

• Tutela da saúde, exclusivamente, em procedimento realizado

por profissionais de saúde, serviços de saúde ou autoridade
sanitária
O Tratamento de dados sensíveis para realização de procedimento de
saúde é aos procedimentos realizados por autoridades sanitárias ou
entidades e profissionais do serviço de saúde, observada a finalidade
e adequação do tratamento dos dados sensíveis.

15
 • Garantia da prevenção à fraude e à segurança do titular, nos
processos de identificação e autenticação de cadastro em
sistemas eletrônicos
Mais importante do que a exigência do consentimento do titular é a
garantia da segurança de suas informações. Por essa razão é que a
LGPD permite que o agente faça o tratamento de dados sensíveis,
ainda que sem consentimento do titular, quando necessário à
preservação da segurança de seus dados pessoais nos processos de
cadastramento e autenticação em sistemas eletrônicos, exceto quando
se verificar o prevalecimento dos direitos e liberdades fundamentais do
titular, resguardado o direito ao livre e facilitado acesso.

Dados Anonimizados

O dado anonimizado é definido pela LGPD como “dado relativo a titular que
não possa ser identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento”. Pode-se dizer,
portanto, que dado anonimizado é aquele que, originariamente, era relativo
a uma pessoa natural, mas que, em algum momento, foi submetido a um
processo de desvinculação ao titular.

O dado anonimizado, em regra, não é considerado um dado pessoal e,

portanto, a ele não se aplicam as disposições da LGPD. No entanto, quando
o dado anonimizado for submetido a processo de reversão da anonimização,
ou, ainda, quando for possível a reversão mediante utilização de esforços
razoáveis, será considerado um dado pseudonimizado e, portanto, estará
sujeito às disposições da LGPD.

Vale esclarecer que o agente de tratamento que pratique o processo de

anonimização está sujeito à fiscalização da Autoridade Nacional de Proteção
de Dados (ANPD), sendo que, acaso verificada eventual falha de
procedimento que permita a reidentificação dos dados pessoais, ou, ainda,
um possível vazamento de dados, poderão ser aplicadas as penalidades
legais, razão pela qual devem ser adotadas todas as medidas de segurança
e de cautela necessárias.

16
Dados Pessoais de Crianças e Adolescentes

Além do tratamento especial dos dados sensíveis, os dados pessoais de

crianças e adolescentes também recebem disposições diferenciadas. Para que
o agente de tratamento esteja autorizado a realizar o tratamento desse tipo
de dado pessoal, deverá obter consentimento específico e destacado por, ao
menos, um dos responsáveis legais da criança ou adolescente titular.

A LGPD, no entanto, prevê hipótese em que será dispensado a coleta de

dados de crianças e adolescentes. A exceção se dará somente quando a coleta
for necessária para contatar os pais ou o responsável legal do titular, ou,
ainda, paga garantia de sua proteção, sendo que os dados coletados poderão
ser utilizados somente uma única vez, sendo vedado o armazenamento e
compartilhamento.

Outra garantia importante conferida pela LGPD é a proibição ao

condicionamento da participação em jogos ou aplicativos virtuais ao
fornecimento de informações pessoais da criança ou adolescente que não
sejam estritamente necessárias.

17
TRANSFERÊNCIA INTERNACIONAL DE DADOS

Nós já vimos que a aplicação da LGPD não está condicionada à nacionalidade

do agente de tratamento, sendo irrelevante o local de sua sede, o que
também viabiliza que o DPO trabalhe de qualquer lugar do mundo. Assim, de
forma a evitar eventuais escusas à aplicação da lei, garantindo maior
proteção aos dados pessoais do titular, a LGPD prevê que a transferência
internacional de dados somente será permitida quando:

• O país de origem garantir o mesmo grau de proteção de dados ao

instituído pela LGPD;
• O controlador garantir o cumprimento dos preceitos da LGPD;
• Necessária à cooperação jurídica internacional entre órgãos públicos;
• Necessária à proteção da vida do titular ou de terceiros;
• Autorizado pela ANPD;
• Necessária ao cumprimento de acordo de cooperação internacional;
• Necessária à execução de políticas públicas;
• Fornecido consentimento específico e destacado;
• Necessária ao cumprimento de obrigação legal pelo controlador;
• Necessária à execução de contrato;
• Necessária ao exercício regular de direito.

18
PRINCÍPIOS DA LGPD

Para atingir seu objetivo de garantia à proteção à privacidade, a LGPD exige

que o tratamento de dados pessoais observe sempre a boa-fé, tendo como
princípios:

• Finalidade
O tratamento de dados deve ter propósito legítimo,
específico e explícito, o qual deve ser informado ao titular
e não pode ser posteriormente desviado para uma finalidade
incompatível. Ou seja, o agente de tratamento deve expor ao titular,
de forma específica, o que pretende com a coleta e tratamento de seus
dados pessoais, ficando proibido de, posteriormente, utilizar as
informações coletadas para finalidade diversa da que foi inicialmente
exposta.

• Adequação
O princípio da adequação caminha junto com o da finalidade,
na medida em que, na prática, o tratamento de dados deve
ser compatível com a finalidade informada ao titular, ou seja, deve se
adequar exatamente ao que se propôs o agente de tratamento no
momento da coleta.

• Necessidade
O tratamento de dados deve se limitar ao mínimo necessário
para atingir sua finalidade, com a coleta de dados essenciais
e pertinentes ao tratamento, em observância à proporcionalidade, de
forma a evitar o excesso.

• Livre Acesso
Deve ser garantido aos titulares dos dados o livre acesso,
de forma gratuita e facilitada, às informações sobre a forma
e a duração do tratamento, bem como sobre a integralidade de seus
dados.

19
 • Qualidade dos Dados
Não sendo suficiente o mero acesso às informações, deve
ser garantido ao titular que os dados lhe sejam
disponibilizados de forma exata e clara, com a possibilidade de
atualização de seus dados, conforme necessidade para que seja
atingida a finalidade do tratamento de dados.

• Transparência
Novamente em proteção ao acesso de informações pelo
titular, o princípio da transparência garante a
disponibilização precisa e facilitada sobre o tratamento e seus agentes,
observadas as regras de segredo comercial e industrial.

• Segurança
Para o tratamento de dados é necessária a adoção de
medidas técnicas e administrativas de segurança aptas a
proteger os dados contra acessos não autorizados, bem como de
eventuais acidentes ou práticas ilícitas de destruição, perda, alteração,
comunicação ou difusão. Ou seja, é de responsabilidade do agente de
tratamento garantir a proteção dos dados pessoais tratados.

• Prevenção
Também é de responsabilidade do agente de tratamento
a adoção de medidas necessárias à prevenção de
possíveis danos provenientes do tratamento de dados.

• Não Discriminação
O tratamento de dados não poderá ter como finalidade a
prática de atos discriminatórios ilícitos ou abusivos.

• Responsabilização e Prestação de Contas

É responsabilidade do agente de tratamento a prestação
de contas de forma a demonstrar que adotou todas as
medidas necessárias para cumprimento das exigências das normas de

20
 proteção de dados pessoais, devendo, inclusive, demonstrar a eficácia
de tais medidas.

Os princípios trazidos pela LGPD são a base para qualquer atividade que
envolva o tratamento de dados pessoais. Portanto, durante o exercício de
suas funções, é essencial que o DPO pratique e garanta o atendimento a
todos os conceitos principiológicos de proteção aos dados pessoais.

21
DIREITOS DOS TITULARES DE DADOS

Você já viu que a LGPD tem como objetivo garantir a proteção aos dados
pessoais. Portanto, para viabilizar a efetivação dessa finalidade, foi
necessário atribuir determinados direitos ao titular dos dados.

De início, a LGPD reforça a garantia constitucional dos direitos fundamentais

à liberdade, intimidade e privacidade. Isso, pois, referidas garantias estão
diretamente relacionadas à proteção de dados, na medida em que eventual
violação à proteção dos dados pessoais de um indivíduo, acaba por violar,
por consequência, sua vida íntima, liberdade e privacidade, por se tratar de
informações particulares do titular.

Para concretização dessas garantias, fica assegurado ao titular:

Confirmação da existência do tratamento;

Acesso aos dados;

Correção de dados incompletos, inexatos ou desatualizados;

Anonimização, bloqueio ou eliminação de dados desnecessários,

excessivos ou tratados em desconformidade com o disposto nesta
Lei;

Portabilidade dos dados a outro fornecedor de serviço ou produto,

mediante requisição expressa, de acordo com a regulamentação da
autoridade nacional, observados os segredos comercial e industrial;

22
 Eliminação dos dados pessoais tratados sem o consentimento do titular;

Informação das entidades públicas e privadas com as quais o

controlador realizou uso compartilhado de dados;

Informação sobre a possibilidade de não fornecer consentimento e

sobre as consequências da negativa;

Revogação do consentimento

Peticionar e recorrer perante a autoridade nacional ou os órgãos de

defesa do consumidor contra o controlador de dados;

Oposição ao tratamento ilegal;

Caberá ao titular dos dados pessoais exercer seus direitos mediante

requerimento expresso, sem qualquer custo, destinado ao agente de
tratamento, que, não podendo atender a solicitação, poderá oferecer resposta
nos seguintes termos:

• Comunicar que não é o agente de tratamento e, se possível, indicar o

agente; ou
• Indicar as razões que o impede de adotar as medidas solicitadas.

23
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

No início do e-book, vimos que uma das funções do DPO é fazer a

intermediação entre o controlador de dados e a autoridade nacional de
proteção de dados (ANPD). Portanto, para que tenha bons resultados em suas
atividades, é muito importante que o encarregado de dados entenda o que é
e o que faz a autoridade nacional.

A ANPD é um órgão da administração pública federal, vinculada à Presidência

da República, garantida sua autonomia técnica e decisória.

Embora ainda não oficialmente criada, a LGPD, de forma a assegurar o

cumprimento de suas disposições pelos agentes de tratamento de dados,
confere à ANPD competência para:

• Zelar pela proteção dos dados pessoais;

• Zelar pela proteção dos segredos comercial e industrial;
• Elaborar diretrizes para a Política Nacional de Proteção de Dados
Pessoais e da Privacidade;
• Fiscalizar e aplicar sanções aos agentes infratores;
• Apreciar petições do titular contra o controlador de dados;
• Promover o conhecimento público das normas e políticas sobre
proteção de dados pessoais;
• Elaborar estudos sobre as práticas nacionais e internacionais de
proteção de dados pessoais;
• Estimular a adoção de padrões para facilitar o exercício de controle de
dados por seus titulares;
• Promover ações de cooperação com autoridades de outros países;
• Dispor sobre as formas de publicidade das operações de tratamento de
dados pessoais;
• Solicitar às entidades do poder público informes sobre o tratamento de
dados;
• Elaborar relatórios de gestão;
• Editar regulamentos e procedimentos sobre proteção de dados
pessoais;
• Ouvir os agentes de tratamento e a sociedade e prestar contas;

24
 • Arrecadar e aplicar suas receitas de forma pública e detalhada;
• Realizar auditorias perante os agentes de tratamento;
• Celebrar acordos com os agentes de tratamento, de forma a eliminar
irregularidades;
• Editar normas, orientações e procedimentos para que pequenas e
micro empresas se adequem à lei;
• Garantir a simplificação e clareza do tratamento de dados pessoais de
idosos;
• Deliberar, na esfera administrativa, sobre a interpretação da LGPD;
• Comunicar às autoridades as infrações penais que tiver conhecimento;
• Articular com autoridades reguladoras públicas;
• Implementar mecanismos simplificados e eletrônicos para o registro
de reclamações.

De forma geral, a ANPD é o órgão responsável por fiscalizar, implementar e

garantir a eficácia e obediência à LGPD pelos agentes de tratamento. Desta
forma, o DPO será o responsável por estabelecer o bom relacionamento com
a autoridade nacional, sempre que necessário, fornecendo eventuais
informações solicitadas, bem como respondendo a eventuais exigências, de
forma a garantir que o controlador esteja adequado às disposições legais,
evitando, assim, a aplicação de penalidades.

25
PENALIDADES

Para garantir que os agentes de tratamento de dados obedeçam às

disposições da LGPD, tornando eficaz as medidas de proteção aos dados
pessoais, a LGPD confere à autoridade nacional o exercício de fiscalização e
imposição de sanções administrativas àqueles que infringirem as disposições
legais.

As sanções administrativas estabelecidas pela LGPD possuem uma variação

de severidade, de forma a garantir a proporcionalidade da penalidade, de
acordo com a gravidade da conduta do agente infrator. São elas:

Advertência, com indicação de prazo para adoção de medidas

corretivas;

Multa simples, de até 2% (dois por cento) do faturamento;

Multa diária;

Publicização da infração;

Bloqueio dos dados pessoais a que se refere a infração até

regularização;

Eliminação dos dados pessoais a que se refere a infração;

Suspensão parcial do funcionamento do banco de dados;

26
 Suspensão do exercício da atividade de tratamento dos dados
pessoais;

Proibição parcial ou total do exercício de atividades relacionadas a

tratamento de dados.

Para imposição das sanções mais gravosas de suspensão ou de proibição das

atividades, é necessário que o agente tenha sofrido ao menos uma das outras
penalidades, com exceção da advertência. No mais, as sanções de suspensão
obedecerão ao limite de 6 meses, prorrogáveis por igual período.

Quanto às sanções de multa, deverão respeitar o limite de R$ 50 milhões.

Para aplicação das sanções administrativas, deverá ser oportunizada a defesa

do agente de tratamento de dados, mediante procedimento administrativo.
No mais, para escolha da penalidade adequada, em proporção à infração, a
autoridade nacional deverá observar os seguintes parâmetros:

• Gravidade e natureza da infração e dos direitos violados;

• Boa-fé do infrator;
• Eventual vantagem auferida ou pretendida pelo infrator;
• Reincidência;
• Extensão do dano causado ao titular do dado;
• Cooperação do infrator;
• Adoção de medidas corretivas e preventivas internas;
• Adoção de política de boas práticas e governança;
• Proporcionalidade entre a conduta e a intensidade da sanção.

Vale lembrar que a aplicação das sanções administrativas previstas na LGPD

não exclui eventuais penalidades administrativas, civis ou penais, previstas
em legislações específicas.

27
OS 6 PASSOS PARA ADEQUAÇÃO À LGPD

Se o trabalho do DPO é garantir que o agente de tratamento esteja adequado

à LGPD, é preciso saber por onde começar e o que fazer para atingir esse
objetivo.

Considerando que a LGPD ainda não está vigente, aqueles que começarem a
atuar como DPO, certamente participarão da adequação do agente de
tratamento desde o início, não se limitando apenas à manutenção da prática
legal.

Para estar de acordo com as normas e disposições da LGPD, é necessário que

o agente de tratamento implemente uma cultura de proteção de dados
pessoais. Para tanto, a LGPD prevê que os operadores e controladores de
dados poderão formular regras de boas práticas e governança, também
conhecida como programa de boas práticas e governança, que versem sobre
os procedimentos adotados no tratamento de dados pessoais.

Mas, para que se tenha o efetivo cumprimento dessas práticas, é necessário

estabelecer um projeto de implementação, que poderá observar 6 passos,
que devem ser adequados a cada tipo e porte de empresa.

Diagnóstico

Criação do Programa de Governança em Proteção de Dados

Elaboração e revisão de documentos

Garantia do exercício dos direitos dos titulares

Treinamento in company

Revisão final LGPD

28
 FASE 1 – Diagnóstico

Inicialmente, será necessário analisar e mapear todas as áreas e atividades

que envolvam o tratamento de dados pessoais. Neste ponto, será preciso
diagnosticar o que já tem sido feito na proteção dos dados pessoais e o que
ainda deverá ser feito.

É de extrema importância, nesta fase, captar o maior número de informações,

com máxima precisão, de forma a entender a operacionalização do agente de
tratamento, garantindo maior assertividade na implantação.

Este é o momento de entender o perfil das atividades e dos colaboradores, a

finalidade do tratamento de dados pessoais, o tipo de dado pessoal tratado,
os fluxos de trabalho, as falhas de segurança e, principalmente, identificar as
dificuldades e os problemas enfrentados no tratamento de dados pessoais.
Somente conhecendo a fundo o agente de tratamento é que será possível
traçar as melhores estratégias de adequação, de forma personalizada e com
maior efetividade.

FASE 2 – Criação do Programa de Governança em Proteção de

Dados

A criação do programa de governança é um dos principais passos da

implantação. É ele que dará um norte de como seguir com a adequação e
manutenção das práticas de proteção de dados, e facilitará a compreensão
dos colaboradores.

Embora a LGPD não exija a criação do programa de governança e boas

práticas, ela o recomenda aos operadores e controladores. O programa
poderá prever métodos de organização, regime de funcionamento,
procedimentos de garantia à proteção de dados, como canais de reclamações
e petições pelos titulares, normas de segurança, padrões técnicos, ações

29
educativas, medidas de fiscalização interna e, até mesmo, sanções internas,
tudo para viabilizar a proteção dos dados pessoais tratados.

Com a criação do programa, o agente de tratamento poderá se planejar e

focar na implementação em cada um de seus setores, sabendo exatamente
o que precisará ser modificado ou adaptado para cumprimento das exigências
legais.

FASE 3 – Elaboração e revisão de documentos

Após a criação do programa de governança e boas práticas, traçadas as

estratégias e as medidas a serem tomadas, será necessário elaborar ou
revisar documentos relativos ao tratamento de dados pessoais, como as
políticas de privacidade e os termos e condições, de forma a adequá-los às
novas práticas e, principalmente à legislação, evitando, assim, problemas
futuros com os titulares de dados e com a autoridade nacional.

Os novos documentos devem estar de acordo com todos os princípios da

LGPD e, ainda, em respeito aos direitos dos titulares, sem deixar de
resguardar os direitos do agente de tratamento, é claro.

FASE 4 – Garantia do exercício dos direitos dos titulares

Nesta fase, o agente de tratamento deverá focar em implementar todas as

medidas práticas de segurança de dados pessoais e garantia dos direitos dos
titulares, de acordo com o resultado do diagnóstico e do programa de
governança.

Ou seja, esse é o momento de colocar o plano em ação, com a implantação

de todos os mecanismos de adequação à lei.

FASE 5 - Treinamento in company

30
Após a implantação de todos os instrumentos necessários à adequação, chega
o momento de treinamento de todos os colaboradores, a fim de estabelecer
uma cultura de proteção de dados pessoais no agente de tratamento.

Certamente, os operadores do dia-a-dia são as ferramentas mais importantes

para garantir uma completa adequação às disposições legais. De nada
adiantaria a implantação de sistemas de segurança de dados se aqueles que
o opera não estiverem aptos às boas práticas.

Portanto, o treinamento deve garantir que todos os colaboradores estejam

alinhados à conceituação da LGPD, entendendo a real importância da
proteção de dados, através do esclarecimento de seus princípios e de sua
finalidade.

O treinamento deve abranger todas as áreas, de forma que o agente de

tratamento esteja integralmente adequado à LGPD.

FASE 6 - Revisão Final LGPD

Garantida a implantação completa do projeto e o treinamento dos

colaboradores de todas as áreas, é importante que o agente de tratamento
faça uma revisão das medidas implementadas, dentro da prática do dia-a-
dia, verificando eventuais falhas e corrigindo-as, até que se verifique a
completa adequação.

Para viabilizar que os agentes de tratamento tenham um período para testes

e revisão das medidas implantadas, a LGPD prevê que as sanções
administrativas somente entrarão em vigor em agosto de 2021, ou seja, 3
meses após o início da vigência das demais disposições da lei.

31
PRIVACY BY DESIGN

Quando se fala em adequações à LGPD, é provável que você já tenha ouvido

falar sobre o conceito privacy by design como meio de redução dos riscos à
proteção de dados pessoais.

Privacy by design se trata de uma metodologia de incorporação dos preceitos

de proteção de dados pessoais desde a concepção até a execução de produtos
e serviços da empresa que envolva o tratamento de dados.

O conceito de privacy by design busca garantir que a implantação do plano

de adequação à proteção de dados não se limite ao estabelecimento de
medidas objetivas impostas por lei, mas que o agente de tratamento esteja
integralmente calçado de proteções de cunho preventivo, de forma a
estabelecer um ciclo natural de garantia da proteção aos dados, em
atendimento à LGPD, através do desenvolvimento dos seguintes aspectos:

• Proativo, não reativo. Preventivo, não corretivo;

• Privacidade incorporada no projeto;
• Segurança do começo ao fim;
• Privacidade como configuração padrão;
• Funcionalidade completa;
• Visibilidade e transparência;
• Respeito à privacidade do usuário.

Assim, a adoção do conceito de privacy by design no trabalho do DPO é

essencial para minimização de obstáculos e incidentes no decorrer de sua
carreira profissional.

32
VAZAMENTO DE DADOS E INCIDENTES

Após a implantação do projeto de adequação à LGPD, o que se espera é que

tudo obedeça a um fluxo de procedimentos, com estrito atendimento às
exigências legais. No entanto, nem sempre as coisas caminham como o
esperado, e todos estão sujeitos a falhas e incidentes.

Então, o que o DPO deve fazer diante de um vazamento de dados da

controladora? A ação correta é comunicar à autoridade nacional e evidenciar
a realização eficaz de boas práticas de segurança da informação, governança,
risco e compliance, através de processos e procedimentos internos capazes
de demonstrar tais controles efetivos. Ainda, é importante demonstrar que
possui implementado programas de privacidade, avaliações sistemáticas de
impacto e riscos à privacidade, planos de respostas a incidentes e
remediação, treinamentos internos, códigos de conduta e demais controles
que demonstrem o cumprimento da lei de proteção de dados.

Ter um plano de respostas a incidentes é extremamente importante e

necessário, embora poucas empresas adotem essa medida. O DPO é
importante peça no desenvolvimento dessa estratégia, que pode evitar a
penalização da controladora, a depender do caso.

É de extrema importância que programas de segurança possam ser adotados

no ambiente organizacional, contemplando um ciclo de melhoria contínua.
Devem estar previstas as etapas de identificação, definição, proteção e
resposta em todo o ciclo de vida dos dados.

33
PROMESSA: A PROFISSÃO DO FUTURO

Provavelmente, você já deve ter ouvido que DPO é a profissão do futuro, e

realmente é! O que mais chama atenção à vaga de DPO é a promessa de
alta demanda, uma vez que a LGPD impõe sua contratação por todo
controlador de dados pessoais, assim como a escassez de profissionais, já
que estamos diante de uma profissão ainda pouco conhecida na prática aqui
no Brasil. Com a mistura desses dois elementos, é possível visualizar grandes
oportunidades àqueles que estão dispostos a vivenciar algo novo e promissor,
como você. No entanto, para ingressar em algo novo é preciso coragem,
além, é claro, de sensatez.

Agora que você já tem uma ideia do que é preciso para se tornar um DPO e
qual é a função por ele desempenhada, com breves esclarecimentos sobre a
LGPD, certamente surgiram várias outras dúvidas sobre se essa é realmente
a profissão que você deseja e, ainda, se ela alcançará suas expectativas. Essa
incerteza é comum, já que estamos diante de uma nova profissão, inexistente
no mercado e que, certamente, sofrerá várias adequações ao longo de sua
consolidação. Portanto, diante das informações que já temos hoje, separamos
algumas considerações importantes, que poderão te auxiliar na avaliação
deste novo nicho profissional.

Dores

Certamente, durante suas avaliações, ainda que breves, sobre se tornar um

DPO, você se deparou com alguns anseios que, de certa forma, te impedem
de se arriscar nessa nova oportunidade. Buscaremos te auxiliar a enfrentar
essas angústias através de esclarecimentos.

• Estagnação profissional
Certamente, para quem já exerce uma profissão que, de alguma
forma, te deixa confortável, é natural que cogitar iniciar algo
totalmente novo seja algo incômodo. Sair da zona de conforto
profissional nunca é agradável.

34
 Muitas pessoas imaginam que iniciar uma carreira como DPO exigirá
começar tudo do zero e abandonar integralmente tudo o que já exerceu
como profissional até hoje. No entanto, as coisas não são bem assim.
Conforme comentado, o DPO é profissional multidisciplinar, sendo
certo que, qualquer que seja a profissão que já exerce, poderá se
utilizar de suas habilidades já desenvolvidas como seu ponto forte
profissional.
Além disso, uma das principais características do cargo de DPO é a
independência, o que permite que o profissional tenha liberdade para
exercer suas funções com a metodologia que entender mais adequada,
desde que atingidas suas finalidades. Afinal, por se tratar de uma
profissão nova no mercado, não existem fórmulas e padrões a serem
seguidos.

• Dificuldades em atingir o mesmo salário em outra área

profissional
Obviamente, grande parte da zona de conforto profissional refere-se à
remuneração já obtida. Claro que a análise deste ponto vai depender
exclusivamente de quanto cada um aufere em contrapartida ao seu
trabalho.
Importante esclarecer que, ao pensar em remuneração, é necessário
avaliar o valor do trabalho como um todo, ou seja, o que você precisa
desempenhar para perceber determinada remuneração. Desta forma,
não basta apenas uma simples comparação de quantia, mas do quanto
você oferece em contrapartida ao que recebe.
Feita essa prévia consideração, você deve estar se perguntando: mas
quanto ganha um DPO?
Pesquisas de mercado indicam que, no Brasil, o encarregado de dados
deve receber, em média, de R$ 15 mil a R$ 20 mil por mês, podendo
alcançar até R$ 30 mil.
Portanto, cabe a cada um avaliar se a remuneração estipulada no
mercado atende às suas expectativas.

• Falta de experiência com outras atividades

35
 É comum que as pessoas escolham determinadas profissões e se
especializem em alguma área específica. Portanto, a vaga de DPO pode
ser encarada como um desafio, ante sua natureza multidisciplinar.
No entanto, não é necessário que o encarregado de dados tenha
conhecimento específico e aprofundado de todas as áreas da empresa,
mas sim que, principalmente, tenha facilidade de comunicação e
gestão, já que receberá subsídios de diferentes áreas para
desempenhar sua função.
Ainda, como já mencionado, o DPO poderá se utilizar das habilidades
que já possui em determinada área para desenvolver sua própria
metodologia de trabalho.

• Forte concorrência
A ideia de que o DPO exerce uma função de grande responsabilidade
e importância pode causar a impressão de que terá que enfrentar uma
fortíssima e qualificada concorrência.
Ocorre que a função de DPO ainda é nova no Brasil, não havendo,
ainda, grandes especialistas capazes de desqualificar seus
concorrentes. É importante esclarecer que todos os encarregados de
dados estão começando do zero, assim como você, assumindo uma
nova função pouco conhecida e explorada.
Portanto, esse é o momento certo para quem pretende se tornar a
forte concorrência, se antecipando em conhecimentos e explorando
essa nova oportunidade.

• Alto índice de desemprego

A percepção de que o atual cenário é de aumento do índice de
desemprego no país pode te colocar em dúvida sobre se arriscar em
algo novo.
De início, vale lembrar que não é necessário abandonar sua atual
atividade para se dedicar aos estudos e à busca de oportunidades na
área de DPO. Há evidente possibilidade de explorar o conhecimento
nessa nova área sem deixar de lado a profissão que já vem atuando.
Assim, quando se sentir preparado para se lançar ao mercado, poderá

36
 avaliar as oportunidades, de forma a ponderar com o que realmente
procura.
No mais, destaca-se que, ante a escassez de profissionais da área e,
ainda, em virtude da obrigatoriedade imposta pela LGPD, a expectativa
é de que não faltem vagas de DPO aos profissionais capacitados.

• Falta de tempo para iniciar uma nova graduação ou uma pós-

graduação
Como já informado, a LGPD não exige formação específica para
exercício da função de DPO. Portanto, a impossibilidade de ingressar
em um curso de pós-graduação não é um impeditivo para o
desempenho do cargo.
Inclusive, é muito mais importante e desejável que o profissional tenha
realizado um curso de especialização em DPO e LGPD, que,
certamente, exigem menos tempo e podem ser realizados à distância.

• Dificuldade em aprender um novo idioma na fase adulta

Embora seja um diferencial, a fluência em outros idiomas também não
é exigido para o desempenho da função de DPO. Portanto, também
não será um fator impeditivo para exercer o cargo.

• Covid-19
Não bastassem as incertezas gerais e comuns enfrentadas por
qualquer pessoa que pretenda ingressar em algo novo na carreira
profissional, fato é que estamos diante de uma excepcional situação
enfrentada mundialmente, que é o combate à pandemia de Covid-19.
Os efeitos dessa pandemia causam insegurança quanto aos riscos de
iniciar uma nova carreira profissional.
Especialmente quanto à LGPD, a pandemia de Covid-19 já resultou no
adiamento de sua vigência, que, a princípio, somente terá início em
maio de 20211, quando a contratação do DPO passará a ser obrigatória.
Embora pareça estar muito distante, fato é que os agentes de
tratamento de dados já estão procurando se adequar à LGPD e,

1
Alteração realizada pela Medida Provisória nº 959/2020

37
 portanto, precisarão contratar o DPO o quanto antes. No mais, é
necessário tempo e preparo para que você possa se lançar como DPO
no mercado.
Portanto, ainda que opte por aguardar o fim da pandemia para se
arriscar definitivamente em algo novo, caso queira se tornar um DPO,
é muito importante que dê os primeiros passos na busca pela
qualificação imediatamente.

Objeções

Assim como a identificação de anseios, é natural e necessário que, para se

arriscar em uma nova profissão, sejam levantadas objeções à nova
possibilidade. Respondemos abaixo a algumas das possíveis objeções que
surgirão durante sua análise:

• Prorrogação da entrada em vigor da LGPD para maio de 2021

Embora a contratação do DPO só seja obrigatória a partir de maio de
2021 (caso a Medida Provisória 959 não seja vetada, o que viabilizaria
a entrada para 14 de Agosto de 2020), é preciso relembrar que já
existem empresas contratando DPO, para dar início às adequações à
LGPD antes mesmo de sua vigência.
No mais, para que esteja preparado quando a lei entrar em vigor, é
necessário que o profissional se prepare, estude sobre o assunto e
desenvolva suas novas habilidades, para que tenha segurança
suficiente para iniciar sua nova profissão.
Sendo assim, a prorrogação da LGPD não deve ser vista como uma
objeção, mas sim como uma oportunidade de estar preparado quando
sua contratação for oficialmente obrigatória.

• Retorno não imediato

Investir em uma nova carreira exige paciência até que se obtenha o
retorno pretendido, seja financeiro, seja profissional. Para se tornar
um DPO, será necessário investir em conhecimento sobre o assunto, o
que somente será recompensado com a futura contratação.

38
 No entanto, considerando que a LGPD entrará em vigor muito em
breve, pode-se afirmar que se trata de um investimento de médio –
ou até curto – prazo.

• Indefinição quanto à contratação do DPO pelas operadoras de

tratamento de dados
A princípio, a contratação do DPO somente é exigida às controladoras
de dados, sendo que a LGPD não impõe a contratação às operadoras.
No entanto, embora sem exigência legal, a expectativa é de que as
operadoras também passem a contratar um encarregado de dados,
pois também realizarão tratamento de dados. Isso, pois, o trabalho
exercido pelo DPO será essencial para todos que estiverem sujeitos à
LGPD, já que há um grande temor das duras penalidades a que podem
incorrer em caso de infração.
Assim, a contratação de alguém que exerça a gestão do tratamento de
dados e que garanta o cumprimento das exigências legais será
indispensável, ainda que não obrigatória. Vale destacar que ter um
encarregado de dados contratado demonstra responsabilidade e
segurança por parte do agente de tratamento, o que passará a ser um
diferencial desejável das empresas para fins de firmar parcerias e
outras contratações.

• A vaga pode ser preenchida por um profissional interno que já

conhece as políticas e operações da empresa
Neste ponto, de fato, podem ser visualizados dois tipos de
oportunidade. Para aqueles que já trabalham em uma empresa
operadora ou controladora de dados, poderá manifestar seu interesse
em exercer o cargo de DPO, demonstrando a aquisição de
conhecimentos sobre a nova profissão e sobre a LGPD. Por outro lado,
aqueles que precisarão se lançar em busca de controladoras e
operadoras, deverão demonstrar seu domínio tanto pela nova
profissão, quanto pela profissão que já exerce, que também poderá ser
um diferencial importante.
Certamente, o agente de tratamento optará por aquele que
demonstrar mais conhecimentos específicos sobre o tratamento de

39
 dados e as funções de DPO, independentemente do conhecimento das
políticas internas da empresa.

• Adiamento do projeto para quando a LGPD estiver em vigência

Como já pontuado, não é recomendável que se aguarde que a LGPD
entre em vigência para que se inicie o projeto de se tornar um DPO. O
adiamento da LGPD deve ser visto como uma oportunidade de obter o
máximo de conhecimento sobre o tema, para que se sinta preparado
quando chegar o momento. Aliás, já existem órgãos reguladores e
Tribunais de Justiça utilizando-se da LGPD como fundamento de suas
decisões e aplicação de multas.
Ainda, importante ressaltar que diversas empresas se anteciparão na
contratação do DPO, a fim de garantir sua adequação antes mesmo da
vigência da legislação. Afinal, estar em conformidade com a LGPD é e
será visto como diferencial competitivo no mercado.

• Desconhecimento sobre a real aplicabilidade da LGPD no Brasil

Existe uma incerteza quanto aos efeitos da LGPD no Brasil e, ainda,
quanto à sua aplicabilidade. É razoável que, durante a vivência prática
de uma nova legislação, surjam impasses e dúvidas sobre questões
não especificadas pelo legislador.
Essas questões serão enfrentadas e resolvidas na prática, por todos
que vivenciarem a LGPD, o que não é um motivo para objeções à
profissão de DPO.
A LGPD, além de ter disposições completas e específicas, tem como
origem a legislação europeia, que pode ser utilizada como parâmetro
na resolução de divergências e lacunas, já que lá a legislação já vem
sendo aplicada há alguns anos.

• Cursos em centros de ensino conhecidos com certificação

tradicional
Para exercício da profissão de DPO não é necessária a obtenção de
certificações oferecidas por centros de ensino tradicionais. Mais
importante do que certificações é o conhecimento prático que o DPO
deve demonstrar para obter uma vaga. Portanto, é recomendável o

40
 investimento em cursos que foquem na prática da profissão e te façam
sentir preparado para o cargo.

Crenças Limitantes

Além das dores e objeções já listadas, é natural que o indivíduo possua

crenças que o limite a obter o avanço em algo novo que deseja. É preciso
superar essas crenças para obter sucesso nesse novo projeto.

• Para atuar na área de dados é necessário possuir conhecimento

prévio de tecnologia.
Esse é um mito que muitos acreditam. O DPO não atuará diretamente
na área de tecnologia e, portanto, não deverá ter conhecimentos
específicos da área, apenas compreender os principais conceitos.

• Dificuldades de visualização da nova realidade de

transformação digital
Muitas pessoas ainda têm dificuldade em perceber as transformações
digitais rápidas e intensas que estamos passando. O tratamento de
dados não é uma prática recente, mas, certamente, é algo que tem
preocupado especialistas há algum tempo.
Atualmente, não há basicamente nada que seja feito sem que esteja
envolvido o tratamento de dados. Constantemente estamos
autorizando o tratamento de nossos dados pessoais, sem nem
perceber.
Todos os aplicativos, contas e funções gratuitas que acessamos
estamos pagando com a concessão de nossos dados pessoais, sem
sequer perceber o quanto isso é valioso. Há quem pague muito caso
por eles.
Com os novos acontecimentos decorrentes da pandemia de Covid-19,
ficou ainda mais evidente o quanto a tecnologia e a digitalização
tomam cada vez mais conta de nossas vidas. É possível perceber que,
cada dia menos, precisaremos sair de casa para resolver nossas
pendências. Mercado, roupas, restaurantes, trabalho, tudo pode ser

41
 feito com alguns cliques, e em todas as operações terão dados pessoais
envolvidos.
Portanto, não se pode mais negar a atual realidade digital e a imediata
necessidade de controle dessa situação, o que torna a LGPD cada dia
mais essencial.

• Sozinho não tenho capacidade para compreender o

funcionamento da LGPD e os pré-requisitos para ser um DPO
Você não precisa – e nem deve – estar sozinho neste projeto. Além
das informações deste e-book, que já deve te auxiliar na compreensão
de alguns pontos, esperamos poder te auxiliar com muitas outras
informações específicas que te torne preparado a enfrentar esse novo
e promissor desafio.

• Ausência de qualquer experiência de atuação na área

Considerando que o cargo de DPO é multidisciplinar, ninguém será
absolutamente inexperiente. Isso, pois, qualquer profissão que você já
exerça poderá te auxiliar no desempenho das funções como
encarregado de dados. Ainda assim, é aconselhável que o interessado
busque conhecimentos específicos sobre a LGPD e as funções de DPO.

• Falta de referências práticas

Novamente, o fato de se tratar de uma nova profissão, que envolve,
ainda, uma nova legislação, deve causar um certo receio, já que pode
parecer difícil encontrar referências profissionais práticas.
Embora o cargo de DPO seja recente no Brasil, já existe há algum
tempo em outros países. A legislação europeia, a qual originou a LGPD,
já institui a contratação do DPO e, portanto, a profissão já é
desempenhada em outros locais do mundo, existindo fartas referências
profissionais, adaptáveis ao cargo exercido no Brasil.

• Alto risco em começar do zero em uma nova área

Pode parecer arriscado ingressar em um novo projeto para iniciar uma
carreira totalmente do zero, afinal, o risco faz parte da oportunidade.
Não há escolhas que não envolvam riscos.

42
 A obrigatoriedade da contratação do DPO reduz em muito os riscos da
área, já que é certo que as controladoras não poderão deixar de
contratar o encarregado de dados. Além disso, há uma grande
expectativa de que as operadoras de dados também percebam a
necessidade de contratação do DPO, o que aumentará as
oportunidades da área. Em contrapartida, poucos profissionais se
capacitarão para exercer a profissão, justamente em razão dos receios
e incompreensões de muitos, o que também auxilia na redução dos
riscos. Arriscado é manter-se em muitas das profissões atuais, que no
futuro sequer existirão.
No entanto, a variação dos riscos depende da situação em que cada
profissional se encontra, cabendo a cada um avaliar o quanto as
recompensas dessa oportunidade valem a pena em vista ao risco.

• Curso teórico não dará a base necessária para assumir a vaga

A base teórica é de extrema importância ao profissional que pretende
ingressar no mercado de DPO. No entanto, como se sentir confiante
em assumir uma vaga sem saber o que te espera na prática?
Nós concordamos que a prática é essencial ao exercício da profissão.
Por isso, vamos desenvolver diversos vídeos e materiais em nosso
canal do Youtube e na comunidade do Telegram, os quais tem como
principal foco o desenvolvimento da prática pelos profissionais,
demonstrando os problemas reais que serão enfrentados no dia-a-dia
do DPO, a fim de garantir que o profissional se sinta preparado para
se lançar ao mercado.

• Provavelmente as vagas serão preenchidas por profissionais

renomados
Ao contrário do que se imagina, poucas são as empresas que buscam
a contratação de profissionais renomados. Além do custo elevado, nem
sempre a contratação de um profissional de renome é a mais adequada
aos interesses da companhia.
A maior parte das vagas será preenchida por profissionais que se
mostrarem capacitados, independentemente de renome,
especialmente por se tratar de uma nova profissão, que conta com

43
 poucos profissionais especializados. Afinal, com exceção daqueles que
trabalharam em outros países, não haverá profissional com anos de
experiência.
Assim, o profissional que focar em sua capacitação terá natural
destaque, sem necessidade de demonstração de renome.

Dúvidas

Por fim, selecionamos algumas dúvidas comuns que, naturalmente, envolvem

a avaliação dessa nova oportunidade. Fique à vontade para nos enviar outros
questionamentos através de nossos canais de contato.

• Preciso ser advogado?

Não! Como já comentado anteriormente, a LGPD não exige formação
específica para o exercício do cargo de DPO. Portanto, não é preciso
ser advogado, nem mesmo ter conhecimentos jurídicos. No entanto,
no desenvolvimento das funções diárias, o DPO se relacionará com
diversas áreas, passando a desenvolver um perfil multidisciplinar, com
o conhecimento diversificado relacionado à proteção de dados.

• Preciso ter formação em Tecnologia da Informação (T.I)?

Não! O DPO não precisa ter formação específica em T.I. Assim como
com relação à área jurídica, o DPO manterá relações com as áreas de
tecnologia, sem, no entanto, precisar de conhecimentos específicos da
área, mas somente a gestão de informações e de pessoas, de forma a
garantir a proteção dos dados pessoais.

• Preciso ter trabalhado com dados?

Embora seja uma qualificação desejável e que auxiliaria no
desenvolvimento das habilidades de DPO, não é necessário que o
profissional tenha experiência com dados.

• Preciso ter experiência com tecnologia?

44
 O DPO não atuará no operacional de tecnologia, mas no gerenciamento
de informações de diversificadas áreas do agente de tratamento e,
portanto, não precisa ter experiência na área de tecnologia.

• Certificação profissional seria melhor do que um curso?

A certificação profissional é bem vinda e não exime a participação em
um curso, mas também não garante o sucesso de seu projeto. É
recomendável que, independentemente de certificação, o profissional
se sinta preparado para atuar no mercado. Portanto, um curso com
foco na prática profissional pode ser mais adequado àqueles que
precisam aprender sobre a profissão e sobre a proteção de dados do
que um curso totalmente teórico.

• A conclusão de um curso já me torna apto à prática

profissional?
Com a realização de um curso prático e robusto, o profissional saberá
todo o essencial para iniciar sua prática profissional. Certamente,
àqueles que se dedicarem com consistência ao aprendizado constante,
terão sucesso na carreira de DPO.

45
CONCLUSÃO

Não há mais como negar que, diante da transformação digital, o tratamento

de dados pessoais está integralmente incorporado em nossa rotina, ante a
ampliação das conexões que são mantidas na execução das mais simples
tarefas do dia-a-dia.

Assim, a instituição e exigência do cargo de DPO pela LGPD tem se mostrado

uma importante medida de garantia à proteção aos dados pessoais e,
consequentemente, à privacidade e liberdade dos titulares.

Diante da relevância da contratação do encarregado de dados, seja pela

obrigatoriedade imposta aos controladores, seja pela efetiva necessidade de
seus serviços, a profissão de DPO é uma grande promessa, especialmente
em razão da escassez profissional.

Espero que a leitura deste e-book tenha o auxiliado a superar seus anseios
quanto ao ingresso nessa nova trajetória profissional, através da
compreensão dos principais aspectos da profissão de DPO e da LGPD.

Assim, caso você queira fazer parte dessa oportunidade e se lançar em algo
novo e promissor, conto com a sua participação em nosso canal no Youtube
e em minhas redes sociais e espero poder te ajudar para o ingresso em um
mercado de sucesso.

Conte comigo nesse novo percurso!

Leonardo Neri.

46