metropoles.com

O papel do DPO na aplicação da LGPD pelas empresas no Brasil

Fernanda Nones, Data Protection Officer na RD Station, destaca a importância da organização estar alinhada com normas de proteção de dados

atualizado

Compartilhar notícia

Google News - Metrópoles
Divulgação
O papel do DPO na aplicação da LGPD pelas empresas no Brasil
1 de 1 O papel do DPO na aplicação da LGPD pelas empresas no Brasil - Foto: Divulgação

A Lei Geral de Proteção de Dados (LGPD) foi sancionada em 2018, porém só em agosto de 2021 as punições e multas passaram a ser aplicadas para empresas que não estão seguindo as novas regras. A lei é amplamente conhecida e comentada na imprensa e no mundo corporativo em diferentes esferas, porém nem todos conhecem ou já ouviram falar no cargo de DPO – Data Protection Officer ou Encarregado de Proteção de Dados.

A função de DPO ainda é bastante nova no Brasil, considerando que passou a existir a partir da LGPD. Dentre as principais responsabilidades de um DPO, destacam-se:

  • Orientar e direcionar a organização para que esteja adequada às normas de proteção de dados, incluindo orientar os colaboradores quanto a melhores práticas a serem adotadas e incentivar a criação de uma cultura de privacidade.

  • Atuar como um ponto de contato intermediário: aceitar reclamações dos titulares de dados e receber comunicações da Autoridade, adotando providências quando necessário.

Carreira e principais competências

Acredito que as principais competências técnicas para a função de DPO envolvem, mas não se limitam a conhecimentos jurídicos e técnicos sobre proteção de dados e segurança da informação. É muito importante, também, que o DPO possua conhecimento sobre o negócio: quem estiver à frente desta função deve conhecer todas as áreas da organização, funções, processos e o modo de funcionamento dos sistemas que apoiam as atividades da organização.

Quando se fala em competências comportamentais, acredito que é importante ser um profissional com boa capacidade de comunicação, resolução de problemas e trabalho em equipe. Além disso, adaptabilidade e aprendizado contínuo tendem a ser competências importantes, visto que o tema ainda está em construção e constante evolução no Brasil.

Existem diversas possibilidades de carreira para quem deseja exercer a função. Isso porque a LGPD não determina requisitos específicos para a nomeação de um DPO. A Autoridade Nacional de Proteção de Dados (ANPD) afirma que cabe a cada organização definir quais qualificações serão necessárias para a contratação de um DPO, desde que o nível de conhecimento de proteção de dados e segurança da informação seja capaz de atender às necessidades da operação daquela organização.

Importante mencionar que o DPO não necessariamente precisa ser uma pessoa física. De acordo com a LGPD, um DPO pode ser uma pessoa física ou jurídica, podendo ser tanto um funcionário da empresa quanto um agente externo (consultorias e o “DPO as a service”, por exemplo).

Para agentes externos, a lei não proíbe que um mesmo DPO atue em nome de diferentes empresas, desde que seja capaz de realizar suas atribuições com eficiência. Quanto à nomeação de um funcionário da empresa, a LGPD não possui uma proibição expressa quanto ao acúmulo de funções, cuja viabilidade deve levar em consideração as normas trabalhistas.

É importante destacar que ainda existem lacunas e pontos a serem definidos quanto ao cargo. Através do direito comparado é possível analisar que o Regulamento Geral de Proteção dos Dados Pessoais da União Europeia (GDPR), por exemplo, determina que o DPO deve possuir independência para atuar, além de recursos suficientes para realizar as suas funções.

Uma pesquisa realizada recentemente pela RD Station, em parceria com a Manar Soluções em Pesquisa e Eduardo Dorfmann Aranovich e Cia Advogados, apontou que as empresas conhecem a LGPD, porém ainda têm dúvidas sobre seus principais objetivos. O estudo também identificou barreiras para a adequação, como questões estruturais e conhecimento técnico. Nesse contexto, o papel do DPO é fundamental.  Os respondentes demonstraram uma pulverização de qual área dentro da empresa é a responsável pela adequação:  Marketing (21%), Jurídico (14%) e Tecnologia da Informação (TI) (13%). O levantamento também demonstrou que uma a cada cinco empresas não possui um DPO contratado ou não souberam informar a pessoa ou área responsável para cuidar do tema.

Sobre esse cenário, é importante atentar às possíveis mudanças que estão por vir: a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar e criar diretrizes para a LGPD está, no momento, trabalhando na criação de uma resolução contendo normas específicas (e mais brandas) para microempresas e pequenas empresas em relação à LGPD. Uma das possíveis mudanças é a necessidade de nomeação de um DPO, a depender da natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Ainda temos um longo caminho pela frente: tanto o tema proteção de dados quanto o cargo de DPO possuem um longo caminho de consolidação pela frente. Contudo, acredito que o tema seguirá ganhando força. Com o aumento exponencial de novas tecnologias, big data e inteligência artificial, temos também a possibilidade de um aumento de violações à privacidade, permitindo o surgimento de práticas cada vez mais refinadas, abusivas e discriminatórias. Com um cenário que tende a ficar cada vez mais complexo e desafiador, existe também a demanda por profissionais cada vez mais competentes e preparados.

… mas como isso se relaciona com Marketing?

Sem dúvidas a área de Marketing é uma das mais impactadas a partir da LGPD. A nova lei requer que empresas e organizações cumpram com uma série de requisitos para utilizar dados pessoais. Para o marketing não é diferente: todas as estratégias envolvendo dados pessoais precisam ser feitas dentro dos parâmetros da nova norma.

Isso inclui, mas não se limita à aquisição de contatos através de Landing Pages, formulários e pop-ups, práticas de relacionamento como e-mail marketing, perfilamento e automação de marketing, e também práticas de monitoramento, envolvendo tecnologias como os cookies.

Se você está começando agora, aqui vão algumas dicas:

  • A sua base de contatos precisa de bases legais

    A partir das novas regras, para que você possa se comunicar com os seus contatos, é necessário encontrar uma hipótese da lei que autorize essa comunicação. Essas hipóteses são chamadas de bases legais. Para fins de Marketing e Vendas existem três principais bases legais que você pode usar para realizar as suas estratégias dentro da lei: consentimento, legítimo interesse e contratos. Quer uma dica? O checkbox de consentimento não é a única opção para se comunicar com os seus leads dentro da LGPD. Experimente ler mais sobre a base legal do legítimo interesse.

  • Respeite os princípios da LGPD

    Você é suficientemente transparente com os seus contatos à respeito do que faz com os seus dados? Você usa os dados dos seus contatos apenas para as finalidades que informa a eles? Você coleta o mínimo de dados necessários dos seus contatos? Estas são algumas das perguntas que você precisará fazer para garantir que as suas práticas respeitam os princípios da LGPD.

O usuário tem o poder (e direitos)!

A partir da LGPD, empresas e organizações precisam estar preparadas para atender aos direitos dos contatos que possuem. A nova lei prevê uma série de direitos que irão requerer a existência de novos fluxos e processos, como o direito de acesso aos dados pessoais e o direito de exclusão.

Qual a boa notícia para o Marketing?

Estas mudanças, se bem realizadas, podem trazer um impacto positivo para as empresas. A tendência é que as empresas realizem menos práticas de marketing em massa, menos estratégias invasivas e busquem utilizar métodos mais limpos e naturais para alcançar pessoas. Isso não significa que os profissionais de marketing irão parar de trabalhar com os dados, longe disso: tais práticas não só continuam sendo possíveis, como amplamente realizadas, mas é necessário tomar alguns cuidados.

Apesar das grandes mudanças impostas pela lei, a nova dinâmica de regulamentação pode ser vista como uma oportunidade para repensar e evoluir as suas táticas, de modo a gerar valor para o cliente e construir relações a partir de interações mais significativas e transparentes entre o seu público e a sua marca.

Fernanda Nones  é Data Protection Officer (DPO) da RD Station, empresa de tecnologia líder no desenvolvimento de software de marketing e vendas voltado para o crescimento de médias e pequenas empresas e organizadora de grandes eventos presenciais e on-line. Formada em Direito pela Universidade Federal de Santa Catarina. Possui experiência em Direito das Startups, Contratos e cláusulas de proteção em investimentos Venture Capital. 

Quais assuntos você deseja receber?

Ícone de sino para notificações

Parece que seu browser não está permitindo notificações. Siga os passos a baixo para habilitá-las:

1.

Ícone de ajustes do navegador

Mais opções no Google Chrome

2.

Ícone de configurações

Configurações

3.

Configurações do site

4.

Ícone de sino para notificações

Notificações

5.

Ícone de alternância ligado para notificações

Os sites podem pedir para enviar notificações

metropoles.comNotícias Gerais

Você quer ficar por dentro das notícias mais importantes e receber notificações em tempo real?