A LGPD tem sido discutida a muito tempo, e é um marco para a proteção de dados. O tema se tornou muito importante após os diversos escândalos de vazamento de dados dos últimos anos. Mas, se o problema é proteção de dados, o que o Compliance tem a ver com isso?

Duas coisas muito importantes tornam o Compliance o setor fundamental para a adequação da empresa à LGPD. O primeiro, é porque é dever do Compliance garantir que a empresa esteja de acordo com legislações referentes a ela. Por exemplo, precisa estabelecer processos e políticas para assegurar o cumprimento das leis no dia a dia.

Além disso, a LGPD é uma lei que, se não seguida à risco, pode acarretar danos imensos à reputação e imagem da empresa, além de multas pesadas. Isso é especialmente possível devido à grande publicidade e cobrança que têm vindo dos incidentes envolvendo dados de usuários.

Ou seja, o Compliance, afinal, tem o dever de garantir a segurança de dados de acordo com a LGPD da mesma forma que previne contra riscos derivados de outras legislações. Criando processos, políticas, documentos, programas de prevenção e gestão de riscos. E uma das recomendações mais importantes nesse processo é a nomeação de um Data Protection Officer (DPO).

O que é o Data Protection Officer (DPO)

O DPO é uma pessoa (ou empresa) nomeada pela pessoa jurídica que detêm os dados que precisam ser tratados (a controladora). Ele será o elo entre essa pessoa jurídica, os titulares dos dados (pessoas nominais aos quais os dados se referem) e a Autoridade Nacional de Proteção de Dados (ANPD), que ainda está em processo de elaboração.

É recomendado que seja uma pessoa ou área independente da empresa, ou até terceirizada. Assim, ela pode exercer suas atividades sem restrições e intermediações da empresa, já que nem sempre as medidas ou investigações serão em prol dos interesses imediatos da empresa.

Outra recomendação é que a identidade e informações de contato dessa pessoa, ou de um responsável pelo setor, estejam disponíveis. É preciso que funcionários, clientes e demais pessoas externas possam acessar o DPO para fazer questionamentos, tirar dúvidas e exigir seus direitos previstos na LGPD.

O que faz o DPO

O Data Protection Officer deve ter conhecimentos não só sobre dados, mas de processos de Governança Corporativa. Ele deve ser o responsável por fazer fiscalização e governança de acordo com a LGPD, e orientar funcionários e terceiros da empresa em como proteger e manusear devidamente os dados que a empresa possui.

Além disso, deve estar pronto para receber reclamações e denúncias e responder questionamentos de pessoas sobre o uso de dados na empresa. Por fim, é também a pessoa responsável por dialogar com a Autoridade Nacional de Proteção de Dados e prestar qualquer esclarecimento a ela e outras agências reguladoras.

Minha empresa precisa de um DPO?

A adoção de um DPO não é obrigatória para todas as empresas. A LGPD especifica que empresas que detêm um volume alto de dados pessoais ou sensíveis (raça e etnia, convicção religiosa, opinião política, filiação sindical, dados de saúde, opção sexual, genético-biométrico, ou dados de crianças) precisam sim ter um profissional destinado à proteção dos dados.

No entanto, é recomendado que qualquer empresa que tenha recursos para investir em um DPO faça isso. É um sinal de compromisso com a ética e segurança, importante não só para a reputação da empresa, mas para a ANPD. Além disso, as empresas ao redor do mundo têm sofrido sanções pesadas em incidentes envolvendo dados. Por isso, tudo indica que a ANPD também fará uma fiscalização rigorosa.