1 Papel do DPO sob a LGPD

2 Comparativo com GDPR

Encarregado pelo
Tratamento de
Dados Pessoais
(DPO) Responsabilidade pessoal
Art. 41 da LGPD 3 do DPO

4 Modelos Possíveis

23.10.2020
 1 Papel do DPO sob a LGPD

Encarregado pelo
Tratamento de
Dados Pessoais
(DPO)
Art. 41 da LGPD
 Papel do DPO sob a LGPD

É a figura central da governança em proteção de dados.

O que é DPO? É pessoa física ou jurídica que atua como canal de comunicação entre o controlador, os titulares
dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

Quem tem o dever de O controlador (a quem competem as decisões referentes ao tratamento de dados pessoais) deve.
indicar um DPO? O operador (quem realiza o tratamento de dados pessoais em nome do controlador) pode.

Qual a forma de A identidade e as informações de contato do DPO deverão ser divulgadas publicamente, de
divulgação do DPO? forma clara e objetiva, preferencialmente no site do controlador.

(i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar

Quais as atividades do
DPO?
* A ANPD poderá estabelecer normas
complementares sobre a definição e as
atribuições do DPO
providências;
(ii) receber comunicações da ANPD e adotar providências;
(iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem
tomadas em relação à proteção de dados pessoais; e
(iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas
complementares.
 2 Comparativo com GDPR

Encarregado pelo
Tratamento de
Dados Pessoais
(DPO)
Art. 41 da LGPD
 Comparativo com GDPR

Só é exigido DPO:
(i) Por autoridade ou organismo público
Hoje, não há delimitação.
(ii) Quando houver monitoramento regular e Todos os controladores (e
sistemático de dados em grande escala, ou operadores?) devem nomear
um DPO.
(iii) Quando houver grande quantidade de
categorias especiais de dados
Encarregado pelo
Tratamento de Responsabilidade pessoal
Dados Pessoais 3 do DPO
(DPO)
Art. 41 da LGPD
 Responsabilidade pessoal do DPO

Guidelines on Data Protection Officers (‘DPOs’) – referendado pelo Comitê Europeu para a
Proteção de Dados (European Data Protection Board)

O DPO é pessoalmente responsável pelo não cumprimento dos requisitos de proteção de

dados?
Não. Os DPOs não são pessoalmente responsáveis ​pelo não cumprimento dos requisitos de proteção
de dados. É o controlador ou o operador a parte responsável por garantir e ser capaz de demonstrar
que o tratamento é realizado em conformidade com a GDPR. A conformidade da proteção de dados
é de responsabilidade do controlador ou do operador.

D&O (Directors and Officers Liability Insurance) possível solução. Trata-se de um seguro de
responsabilidade civil para altos executivos.
Encarregado pelo
Tratamento de
Dados Pessoais
(DPO)
Art. 41 da LGPD

4 Modelos Possíveis
 Modelos Possíveis

Premissas Modelos
Canal, não
necessariamente um
indivíduo
Grupo de guardiões da
Pessoa física proteção de dados
Corpo interno da Amata Corpo interno da Amata
DPO
Pode ser PF, PJ,
grupo de pessoas Terceirizado Terceirizado
(DPO-as-a-Service) (DPO-as-a-Service)
trabalhando na Amata trabalhando fora da Amata

Não há pré-
qualificações
exigidas por lei Modelo Híbrido
Grupo ou indivíduo da Amata + consultoria externa
 Modelos Possíveis

Ideal que o DPO:

Conheça o setor em que está inserida a Amata (mas não há a obrigatoriedade de qualquer formação ou
pré-qualificação)  

Tenha excelentes habilidades de gerenciamento e seja capaz de interagir facilmente com a equipe
interna da Amata de todos os níveis e cargos e com autoridades governamentais

Esteja envolvido, de maneira próxima, em todos os assuntos de proteção de dados da Amata

Reporte-se ao mais alto nível de gerenciamento da Amata

Opere de forma independente e não esteja sujeito a desligamento ou penalização pelo correto
desempenho de suas tarefas
 Modelos Possíveis

Ideal que o DPO:

Não tenha propósitos conflitantes dentro da Amata (atuação e resultados financeiros)

Possua recursos adequados (tempo, orçamento, infraestrutura, equipe) para que consiga
cumprir com suas obrigações e mantenha alto nível de especialização em sua atuação

Tenha amplo acesso às outras equipes da Amata, para receber suporte e informações

Possa ser sempre consultado em atividades relacionadas à proteção de dados, como executar
um RIPD e avaliar novos produtos e serviços ofertados (privacy-by-design)

Possa ser indicado como canal para atendimento de titulares e órgãos governamentais
 Modelos Possíveis

DPO Interno DPO Externo

Custo Além do salário e encargos, os custos de

Valores fixos e mais previsíveis, podendo ser
treinamento, seguro, atualização, devem ser
ajustados por contrato
suportados pela empresa

Competência Educação complementar e certificações

Técnica
demoradas e complexas para obter o Experiência certificada e já existente
conhecimento técnico

Responsabilidade Responsabilidade pela correta prestação de

Responsabilidade da empresa serviços. Minimização de riscos para a
empresa

Todos os dados são mantidos dentro da Dados da empresa são compartilhados com
Controle de dados
empresa um terceiro
 Modelos Possíveis

DPO Interno DPO Externo

Tempo Tempo parcialmente comprometido com a

comprometido 100% do tempo comprometido com a função
função dentro da empresa, podendo haver
dentro da empresa
envolvimento com terceiros

Tempo para
compreender o Não muito tempo, pois DPO faz parte da Leva tempo para o DPO conhecer de fato a
negócio empresa empresa e suas práticas

Tempo de
detecção e Mais rápido, uma vez que DPO encontra-se Mais lento, uma vez que o DPO externo
resposta dentro da empresa encontra-se fora da empresa

Rescisão Maiores dificuldades na rescisão por serviços Pode ser facilmente substituído, de acordo
contratual insuficientes com previsão contratual
 Modelos Possíveis

DPO Interno DPO Externo

Conflito de Se sua remuneração for baseada em resultados

Não há de se falar em tal conflito (pode-se
interesses financeiros da empresa, o DPO poderá, por
exemplo, ter problemas em cumprir sua função de
estabelecer por contrato que o DPO não atue
reportar incidentes de segurança à ANPD em concorrentes)

Danos Maior exposição reputacional da empresa

Menor exposição reputacional. Pode-se
reputacionais em caso de colaborador interno ter agido de
culpar um terceiro pelas falhas.
forma negligente na função

Percepção mais ampla de como outras

Benchmark Menor contato com atuação de outras empresas estão implementando soluções
empresas na área da proteção de dados para conformidade às normas de proteção
de dados

Recursos Conta apenas com o que a empresa tem a Capaz de reunir recursos externos adicionais
adicionais oferecer (por exemplo, TI, SI, plataformas, auditoria)
 Modelos Possíveis

1º ano de LGPD:
Nossa Modelo híbrido:

sugestão Comitê interno

+
Apoio de consultoria externa a depender da necessidade

(Perfil ideal) Programa de governança | Regimento Interno

Ferramenta sugerida para

auxílio às atividades do
Anos seguintes:
DPO:

Avaliar demandas e posicionamentos da ANPD