O papel do DPO na aplicação da LGPD pelas empresas no Brasil
Fernanda Nones, Data Protection Officer na RD Station, destaca a importância da organização estar alinhada com normas de proteção de dados
atualizado
Compartilhar notícia
A Lei Geral de Proteção de Dados (LGPD) foi sancionada em 2018, porém só em agosto de 2021 as punições e multas passaram a ser aplicadas para empresas que não estão seguindo as novas regras. A lei é amplamente conhecida e comentada na imprensa e no mundo corporativo em diferentes esferas, porém nem todos conhecem ou já ouviram falar no cargo de DPO – Data Protection Officer ou Encarregado de Proteção de Dados.
A função de DPO ainda é bastante nova no Brasil, considerando que passou a existir a partir da LGPD. Dentre as principais responsabilidades de um DPO, destacam-se:
-
Orientar e direcionar a organização para que esteja adequada às normas de proteção de dados, incluindo orientar os colaboradores quanto a melhores práticas a serem adotadas e incentivar a criação de uma cultura de privacidade.
-
Atuar como um ponto de contato intermediário: aceitar reclamações dos titulares de dados e receber comunicações da Autoridade, adotando providências quando necessário.
Carreira e principais competências
Acredito que as principais competências técnicas para a função de DPO envolvem, mas não se limitam a conhecimentos jurídicos e técnicos sobre proteção de dados e segurança da informação. É muito importante, também, que o DPO possua conhecimento sobre o negócio: quem estiver à frente desta função deve conhecer todas as áreas da organização, funções, processos e o modo de funcionamento dos sistemas que apoiam as atividades da organização.
Quando se fala em competências comportamentais, acredito que é importante ser um profissional com boa capacidade de comunicação, resolução de problemas e trabalho em equipe. Além disso, adaptabilidade e aprendizado contínuo tendem a ser competências importantes, visto que o tema ainda está em construção e constante evolução no Brasil.
Existem diversas possibilidades de carreira para quem deseja exercer a função. Isso porque a LGPD não determina requisitos específicos para a nomeação de um DPO. A Autoridade Nacional de Proteção de Dados (ANPD) afirma que cabe a cada organização definir quais qualificações serão necessárias para a contratação de um DPO, desde que o nível de conhecimento de proteção de dados e segurança da informação seja capaz de atender às necessidades da operação daquela organização.
Importante mencionar que o DPO não necessariamente precisa ser uma pessoa física. De acordo com a LGPD, um DPO pode ser uma pessoa física ou jurídica, podendo ser tanto um funcionário da empresa quanto um agente externo (consultorias e o “DPO as a service”, por exemplo).
Para agentes externos, a lei não proíbe que um mesmo DPO atue em nome de diferentes empresas, desde que seja capaz de realizar suas atribuições com eficiência. Quanto à nomeação de um funcionário da empresa, a LGPD não possui uma proibição expressa quanto ao acúmulo de funções, cuja viabilidade deve levar em consideração as normas trabalhistas.
É importante destacar que ainda existem lacunas e pontos a serem definidos quanto ao cargo. Através do direito comparado é possível analisar que o Regulamento Geral de Proteção dos Dados Pessoais da União Europeia (GDPR), por exemplo, determina que o DPO deve possuir independência para atuar, além de recursos suficientes para realizar as suas funções.
Uma pesquisa realizada recentemente pela RD Station, em parceria com a Manar Soluções em Pesquisa e Eduardo Dorfmann Aranovich e Cia Advogados, apontou que as empresas conhecem a LGPD, porém ainda têm dúvidas sobre seus principais objetivos. O estudo também identificou barreiras para a adequação, como questões estruturais e conhecimento técnico. Nesse contexto, o papel do DPO é fundamental. Os respondentes demonstraram uma pulverização de qual área dentro da empresa é a responsável pela adequação: Marketing (21%), Jurídico (14%) e Tecnologia da Informação (TI) (13%). O levantamento também demonstrou que uma a cada cinco empresas não possui um DPO contratado ou não souberam informar a pessoa ou área responsável para cuidar do tema.
Sobre esse cenário, é importante atentar às possíveis mudanças que estão por vir: a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar e criar diretrizes para a LGPD está, no momento, trabalhando na criação de uma resolução contendo normas específicas (e mais brandas) para microempresas e pequenas empresas em relação à LGPD. Uma das possíveis mudanças é a necessidade de nomeação de um DPO, a depender da natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Ainda temos um longo caminho pela frente: tanto o tema proteção de dados quanto o cargo de DPO possuem um longo caminho de consolidação pela frente. Contudo, acredito que o tema seguirá ganhando força. Com o aumento exponencial de novas tecnologias, big data e inteligência artificial, temos também a possibilidade de um aumento de violações à privacidade, permitindo o surgimento de práticas cada vez mais refinadas, abusivas e discriminatórias. Com um cenário que tende a ficar cada vez mais complexo e desafiador, existe também a demanda por profissionais cada vez mais competentes e preparados.
… mas como isso se relaciona com Marketing?
Sem dúvidas a área de Marketing é uma das mais impactadas a partir da LGPD. A nova lei requer que empresas e organizações cumpram com uma série de requisitos para utilizar dados pessoais. Para o marketing não é diferente: todas as estratégias envolvendo dados pessoais precisam ser feitas dentro dos parâmetros da nova norma.
Isso inclui, mas não se limita à aquisição de contatos através de Landing Pages, formulários e pop-ups, práticas de relacionamento como e-mail marketing, perfilamento e automação de marketing, e também práticas de monitoramento, envolvendo tecnologias como os cookies.
Se você está começando agora, aqui vão algumas dicas:
-
A sua base de contatos precisa de bases legais
A partir das novas regras, para que você possa se comunicar com os seus contatos, é necessário encontrar uma hipótese da lei que autorize essa comunicação. Essas hipóteses são chamadas de bases legais. Para fins de Marketing e Vendas existem três principais bases legais que você pode usar para realizar as suas estratégias dentro da lei: consentimento, legítimo interesse e contratos. Quer uma dica? O checkbox de consentimento não é a única opção para se comunicar com os seus leads dentro da LGPD. Experimente ler mais sobre a base legal do legítimo interesse.
-
Respeite os princípios da LGPD
Você é suficientemente transparente com os seus contatos à respeito do que faz com os seus dados? Você usa os dados dos seus contatos apenas para as finalidades que informa a eles? Você coleta o mínimo de dados necessários dos seus contatos? Estas são algumas das perguntas que você precisará fazer para garantir que as suas práticas respeitam os princípios da LGPD.
O usuário tem o poder (e direitos)!
A partir da LGPD, empresas e organizações precisam estar preparadas para atender aos direitos dos contatos que possuem. A nova lei prevê uma série de direitos que irão requerer a existência de novos fluxos e processos, como o direito de acesso aos dados pessoais e o direito de exclusão.
Qual a boa notícia para o Marketing?
Estas mudanças, se bem realizadas, podem trazer um impacto positivo para as empresas. A tendência é que as empresas realizem menos práticas de marketing em massa, menos estratégias invasivas e busquem utilizar métodos mais limpos e naturais para alcançar pessoas. Isso não significa que os profissionais de marketing irão parar de trabalhar com os dados, longe disso: tais práticas não só continuam sendo possíveis, como amplamente realizadas, mas é necessário tomar alguns cuidados.
Apesar das grandes mudanças impostas pela lei, a nova dinâmica de regulamentação pode ser vista como uma oportunidade para repensar e evoluir as suas táticas, de modo a gerar valor para o cliente e construir relações a partir de interações mais significativas e transparentes entre o seu público e a sua marca.
Fernanda Nones é Data Protection Officer (DPO) da RD Station, empresa de tecnologia líder no desenvolvimento de software de marketing e vendas voltado para o crescimento de médias e pequenas empresas e organizadora de grandes eventos presenciais e on-line. Formada em Direito pela Universidade Federal de Santa Catarina. Possui experiência em Direito das Startups, Contratos e cláusulas de proteção em investimentos Venture Capital.