O DPO ou Encarregado de Dados pela LGPD, é a pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os Titulares de Dados e a Autoridade Nacional de Proteção de Dados ANPD).
DPO tem a tarefa formal de centralizar toda a comunicação sobre proteção de dados pessoais, é uma figura-chave na conformidade com as leis de proteção de dados, garantindo que a organização esteja ciente de suas responsabilidades e obrigações de proteção de dados e envida esforços para que sejam cumpridas, sugerindo medidas técnicas e administrativas ( que poderão ser acatadas ou não pelo agente de tratamento) para atendimento à LGPD e demais normas incidentes sobre a matéria.
Sendo nomeado, a organização deverá publicar os detalhes do contato e identificação do DPO, para que os titulares de dados e a autoridade nacional possam chegar ao DPO.
O DPO deve ter conhecimento em proteção de dados e privacidade. É vantajoso ter formação jurídica ou em tecnologia da informação, mas o mais importante é que a pessoa tenha um entendimento sólido das regulamentações de proteção de dados.
Nomeação do DPO
O registro de Nomeação do Encarregado de Proteção de Dados (DPO, na sigla em inglês) é um componente importante do cumprimento do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia. O DPO, também conhecido como Data Protection Officer, é responsável por supervisionar a conformidade com as leis de proteção de dados e as práticas de privacidade de uma organização.
A nomeação do DPO deve ser considerada com base nas obrigações legais e nas necessidades específicas da organização.
Artigo 41º – O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Aqui estão os principais passos para o registro de Nomeação do DPO:
- Nomeie um DPO: A primeira etapa é nomear uma pessoa como DPO. De acordo com o RGPD, algumas organizações são obrigadas a designar um DPO, enquanto outras podem optar por fazê-lo voluntariamente.
- Documente a Nomeação: É importante documentar formalmente a nomeação do DPO. Isso pode ser feito através de uma carta de nomeação ou outro documento oficial que estabeleça as responsabilidades e autoridades do DPO.
- Informe a Autoridade de Supervisão: Se a sua organização estiver sujeita ao RGPD e for obrigada a nomear um DPO, você deve informar a Autoridade de Supervisão de Proteção de Dados do seu país sobre a nomeação do DPO. Isso geralmente é feito por meio de um formulário de notificação ou registro.
- Registre as Informações do DPO: Mantenha um registro das informações do DPO, incluindo seu nome, dados de contato e informações relevantes sobre sua função na organização.
- Mantenha o DPO Atualizado: Certifique-se de manter as informações do DPO atualizadas, especialmente se houver alguma alteração na pessoa designada para essa função.
- Colabore com o DPO: É crucial que a organização colabore de forma eficaz com o DPO, fornecendo os recursos e o apoio necessários para que ele desempenhe suas funções de forma adequada.
- Cumpra as Responsabilidades do DPO: O DPO tem várias responsabilidades, incluindo monitorar a conformidade com o RGPD, fornecer orientações sobre proteção de dados, colaborar com as partes interessadas internas e externas, e atuar como ponto de contato com a Autoridade de Supervisão. Certifique-se de que o DPO possa cumprir essas responsabilidades de forma eficaz.
Lembrando que os detalhes específicos sobre o registro de Nomeação do DPO podem variar de acordo com a legislação local de proteção de dados e a natureza da organização. Portanto, é aconselhável consultar um especialista em proteção de dados ou autoridade de supervisão local para obter orientações específicas para a sua situação.
Em analogia à GPDR, o controlador e operador devem garantir que o DPO seja envolvido, de forma adequada e em tempo hábil, em todas as questões relacionadas à proteção de dados pessoais. Os agentes de tratamento tem a obrigação de apoiar o DPO no desempenho de suas tarefas, fornecendo recursos necessários para realizar essas tarefas e acesso aos dados pessoais e operações de tratamento, e manter seu conhecimento especializado. Além disso, o DPO deve reportar à alta gestão, garantindo uma posição independente, e sua autonomia deve ser protegida, assim como previsto pelo GPDR.

Tarefas do DPO
O DPO deve atuar de forma independente e não deve receber instruções conflitantes em relação ao cumprimento das leis de proteção de dados. Isso pode ser um desafio se o DPO também ocupar cargos de alta administração na organização.
O DPO deve ser capaz de se comunicar eficazmente com a equipe da organização e educá-la sobre as práticas de proteção de dados. Além disso, o DPO pode ser o ponto de contato para questões e solicitações relacionadas à privacidade.
Também é responsável por monitorar o cumprimento das leis de proteção de dados pela organização e conduzir auditorias internas de proteção de dados, quando necessário.
Principais responsabilidades de um DPO geralmente incluem o seguinte:
1-Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
2-Colaborar na criação, revisão e implementação de políticas e procedimentos relacionados à proteção de dados e privacidade.
3- Fornecer treinamento e conscientização à equipe da organização sobre as práticas de proteção de dados e as obrigações de conformidade, orientando os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
4-Conduzir avaliações de impacto de privacidade para projetos ou práticas que envolvam o tratamento de dados pessoais de alto risco.
5- Realizar avaliações contínuas de riscos relacionados à privacidade e ajustar políticas e práticas conforme necessário.
6-Avaliar contratos com terceiros que envolvam o processamento de dados pessoais e fornecer recomendações para proteger a privacidade e a conformidade.
7-Realizar auditorias internas para garantir o cumprimento das políticas e regulamentos de proteção de dados.
8-Monitorar, investigar e relatar qualquer violação de dados à autoridade de proteção de dados e, em alguns casos, aos titulares de dados afetados.
9-Servir como ponto de contato entre a organização e a autoridade de proteção de dados local, recebendo comunicações da autoridade nacional e relatando violações de dados quando necessário. e adotar providências.
10-Cooperar com autoridades de proteção de dados e fornecer documentação necessária para cumprir com investigações e auditorias.
11-Prestar aconselhamento à organização em relação às práticas de privacidade e proteção de dados. Isso pode incluir a avaliação de impacto de privacidade, análise de riscos e garantia de que as políticas e práticas estejam em conformidade com a lei. DPO deve informar e aconselhar o controlador ou operador e os empregados que efetuam o tratamento, monitorar a conformidade com a legislação de proteção de dados e com as políticas do controlador, e prestar aconselhamento no que diz respeito à elaboração do relatório de impacto à proteção de dados.
A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Quem certifica DPO?
A certificação de DPO pode ser oferecida por várias entidades, incluindo associações profissionais, órgãos reguladores ou instituições de ensino. Algumas organizações e programas de certificação reconhecidos internacionalmente para DPO incluem:
1-Certified Information Privacy Professional (CIPP) pela International Association of Privacy Professionals (IAPP).
2- Certified Data Protection Officer (CDPO) pela European Institute of Innovation & Technology (EIT).
3- Certified Data Protection Officer (CDPO) pela EXIN.
4- Certified Data Protection Officer (CDPO) pela British Computer Society (BCS).
É importante notar que a certificação de DPO pode variar em termos de requisitos e reconhecimento.
Assim sendo, para se tornar um DPO certificado, é geralmente necessário concluir com êxito um programa de certificação, passar em um exame e, em alguns casos, atender a requisitos de experiência e educação relacionados à privacidade e proteção de dados. Essas certificações são projetadas para demonstrar a competência e o conhecimento em questões de privacidade e proteção de dados, e podem ser valiosas para profissionais que desejam desempenhar o papel de DPO em organizações sujeitas a regulamentações de proteção de dados.