top of page
Foto do escritorINPD

Como identificar um DPO Fake

Atualizado: 10 de out.



Por Mario Toews *


Atualmente, testemunhamos muitas empresas indicando um Encarregado de Proteção de Dados, também conhecido como DPO, sem que, na prática, o mesmo represente adequadamente esta função. Neste artigo o denomiremos como DPO Fake.


O que é um DPO Fake?


O DPO Fake é aquele que, embora esteja indicado como Encarregado de Proteção de Dados, não desempenha, na prática, as funções previstas na LGPD. 


Ele pode ser um funcionário interno sem a devida qualificação, sem autonomia para tomar decisões ou até mesmo alguém que cumpre a função de forma paralela a outras atribuições, sem o tempo e a expertise necessárias para desempenhar as funções exigidas pelo art. 41, parágrafo 2º da LGPD.


Características do DPO Fake:


  • Ausência de um comitê de segurança: O comitê de segurança da informação é fundamental para apoiar o DPO, não é ele que toma decisões de forma solitária. 


  • Falta de definição do cargo: O cargo do DPO deve ser definido de forma clara, com responsabilidades e atribuições específicas.


  • Nomeação inadequada: A nomeação do DPO deve ser formalizada por meio de um documento claro e objetivo, indicando suas responsabilidades e atribuições.


  • Indisponibilidade de recursos:  Para as atividades do DPO, é necessário que estejam disponíveis recursos financeiros, físicos e humanos para atender o programa de adequação à LGPD.


  • Falta de treinamento adequado: O DPO deve possuir, minimamente, conhecimento técnico e jurídico sobre a LGPD e as melhores práticas de proteção de dados, sendo desejável conhecimento em outras legislações como CLT, CDC, tecnologia da informação e regulamentações setoriais que eventualmente o modelo de negócios da instituição  que representa esteja envolvida.


  • Falta de competências: O DPO deve possuir as competências necessárias para exercer a função, como conhecimento técnico, habilidades de comunicação e liderança. O DPO deve ser capaz de se comunicar de forma clara e objetiva com todos os stakeholders da organização, inclusive com a ANPD e com os titulares dos dados


  • Ausência de autonomia: O DPO precisa ter autonomia para tomar decisões e implementar as medidas necessárias para garantir a proteção dos dados pessoais.


  • Indisponibilidade de tempo: O DPO precisa ter tempo suficiente para se dedicar às suas atividades, o que pode exigir uma carga horária dedicada ou a contratação de um profissional externo. 


  • Conflito de interesse: conforme a resolução CD/ANPD Nº 18, conflito de interesse é a situação que possa comprometer, influenciar ou afetar, de maneira imprópria, a objetividade e o julgamento técnico no desempenho das atribuições do encarregado. Esta condição deve ser obrigatoriamente respeitada. 


  • Falta de um suplente: É obrigatório designar um suplente para o DPO, a fim de garantir a continuidade das atividades em caso de sua ausência, conforme previsão legal existente.


Quais os riscos do DPO Fake para a organização ?


  • Multas e sanções: A falta de um DPO atuante pode gerar multas e sanções administrativas por parte da Autoridade Nacional de Proteção de Dados (ANPD).


  • Imagem e reputação: A ocorrência de incidentes de segurança de dados pode prejudicar a imagem da empresa e a confiança dos clientes.


  • Dificuldades em caso de auditorias: A ausência de um DPO comprometido pode dificultar a realização de auditorias e avaliações de conformidade em segurança da informação e compliance com a LGPD.


  • Segurança dos dados reduzida: Os dados pessoais dos clientes e colaboradores podem estar expostos a riscos de vazamento e uso indevido, os riscos são abundantes.


  • Dificuldade em responder às demandas: O DPO não consegue responder de forma clara e objetiva às demandas envolvendo a LGPD, sejam demandas internas ou externas.


Conclusão


A nomeação de um DPO é um passo fundamental para o cumprimento da LGPD, mas não basta apenas cumprir o requisito formal. É preciso garantir que o DPO tenha as qualificações, a autonomia e os recursos necessários para desempenhar suas funções de forma eficaz. 


A falta de um DPO atuante pode gerar graves consequências para a organização, por isso é fundamental investir em um profissional qualificado e comprometido com a função.


Recomendações:


  • Crie um comitê de segurança da informação: O comitê de segurança da informação pode auxiliar o DPO na tomada de decisões e na implementação das medidas de segurança.


  • Defina as responsabilidades e atribuições do DPO: Elabore um documento claro e objetivo que defina as responsabilidades e atribuições do DPO.


  • Escolha um profissional qualificado: Busque um profissional com experiência em proteção de dados e conhecimento da LGPD.


  • Ofereça treinamento adequado: Invista em treinamento para que o DPO possa desenvolver as competências necessárias para exercer a função.


  • Avalie periodicamente o desempenho do DPO: Realize avaliações periódicas para verificar se o DPO está cumprindo suas funções de forma adequada.


Ao seguir essas recomendações, as empresas poderão garantir que a proteção de dados seja uma prioridade e evitar as consequências de um DPO Fake. 



Mario Toews, Presidente da Comissão de Tecnologia da Informação do Instituto Nacional de Proteção de Dados, com mais de 25 anos de experiência na função de gestor de TI de grandes empresas, como Renault do Brasil e Renault Argentina, Arauco, Martini Meat e Britânia atuando na implementação de ERP, BI e Infraestrutura, reorganizando as áreas de TI, conduzindo a atualização tecnológica e a implantação de políticas de SI. Diretor do INPD. Graduado em Análise de Sistemas com Pós-Graduação em Gestão Administrativa (PUC PR), em Direito Digital (FMP RS) e MBA em Gestão Estratégica de Empresas (FGV). Instrutor certificado pela Exin (ISFS, PDPF, PDPP, DPO, ISO, ISMP, Kanban)


197 visualizações0 comentário

Comments


bottom of page