Quem (NÃO) deve ser seu DPO? A resposta pode mudar sua estratégia de governança

Com a chegada da Lei Geral de Proteção de Dados (LGPD), as empresas brasileiras se viram diante da necessidade de nomear um Encarregado de Proteção de Dados, também conhecido como DPO (Data Protection Officer). Essa figura já é amplamente reconhecida em outros mercados, sendo responsável por assegurar a conformidade da empresa com as normas de proteção de dados, além de atuar como um elo entre a organização, as autoridades e os titulares de dados.

Nomear um DPO é um passo estratégico que vai além de uma simples exigência legal. Em muitos casos, mesmo quando não obrigatório, a indicação de um DPO sinaliza boas práticas de governança. No entanto, o processo de escolha desse profissional precisa ser cuidadosamente conduzido, já que o encarregado terá um papel de destaque na estrutura organizacional, requerendo autonomia e uma visão ampla do negócio, além de acesso direto à alta administração.

Uma das principais armadilhas na escolha de um DPO é o risco de conflitos de interesse. Embora a solução mais simples pareça ser a nomeação de um diretor ou chefe de um setor estratégico, como o de TI ou de compliance, essa decisão pode colocar a empresa em risco. A Resolução CN/ANPD nº 18/2024 reforçou que situações de conflito entre as responsabilidades do DPO e outras funções da empresa podem resultar em sanções. Isso porque o DPO deve ter liberdade para exercer seu papel de forma independente, sem influências que comprometam a imparcialidade na tomada de decisões.

Vale lembrar que o DPO é uma fonte de consulta e orientação, e não de decisão final sobre o tratamento de dados. Quando uma única pessoa acumula funções que envolvem a supervisão e a tomada de decisão, a imparcialidade fica comprometida. Assim, se a empresa não tiver ferramentas de governança robustas, corre o risco de acumular um passivo legal, mesmo quando o objetivo inicial era garantir conformidade.

Por fim, terceirizar a função de DPO pode ser uma alternativa viável, especialmente para empresas com estruturas enxutas. No entanto, mesmo nesse modelo, é fundamental garantir que o profissional ou a empresa contratada tenha autonomia completa para exercer o papel sem influências externas. O mais importante é que a nomeação seja feita de maneira estratégica, considerando os riscos e as necessidades específicas do negócio

 Se você ainda tem dúvidas sobre quem deve ser nomeado como DPO da sua empresa ou deseja garantir que essa escolha seja estratégica e em conformidade com as normas da LGPD, a Data Protection Brasil está pronta para oferecer todo o suporte, orientação jurídica e assistência especializada, ajudando sua organização a tomar as melhores decisões e a implementar as melhores práticas de governança em proteção de dados. Não hesite em entrar em contato conosco para compreender como podemos auxiliá-lo. Mantenha-se sempre atualizado e bem-informado sobre as mais recentes mudanças e aos casos relacionados a LGPD. 

Fonte: Conjur