Cargo de DPO, criado pela LGPD: o que muda nas relações de trabalho

Recentemente, com as sanções da Lei Geral de Proteção de Dados Pessoais (LGPD) entrando em vigor, os impactos das diretrizes regulamentadas ainda representam necessidade de adequações no ambiente profissional. A criação de um cargo específico para cumprimento da legislação colocou agentes de tratamentos de dados frente à urgência de definir responsabilidades.

A LGPD, por si só, já dimensionou a preocupação que empresas e organizações tinham – ou deveriam ter – com os dados pessoais que tratam. Conforme a aplicação da lei vem ocorrendo, o compromisso com atribuir poderes se tornou uma questão. Foi levando em conta esta realidade que a Classificação Brasileira de Ocupações, mantida pelo Ministério do Trabalho, criou o cargo de DPO (Data Protection Officer).

Em tradução, o nome define o encarregado de proteção de dados, criado pela LGPD e exigido para empresas de médio e grande porte, sendo facultativo para as de pequeno porte. O problema aqui é que o escopo de atividades envolvido no cargo é bem mais amplo do que aquele exigido na letra da lei. Ou seja, o encarregado necessita conhecimentos e base legal que não haviam sido considerados em sua totalidade quando foi criada a legislação sobre o tema.

São atribuições do DPO atender os titulares de dados, receber comunicações da ANPD (Autoridade Nacional de Proteção de Dados Pessoais), orientar os funcionários e contratados da organização, levar ao conhecimento dos mais altos escalões hierárquicos do agente de tratamento todas as conclusões e instruções sobre os riscos envolvidos em caso de inadequação com a LGPD, executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Na rotina da empresa, promover um funcionário a DPO equivale a delegar um cargo de gerência, pois ao administrar riscos e gerenciar questões administrativas e financeiras de suma importância para a organização se eleva muito o grau de confiança exigido.   

A ampliação deste leque de responsabilidades sobre o DPO deve ser motivo de precaução, pois a mesma classificação que criou o cargo é utilizada para o cadastro dos funcionários e como referência em ações trabalhistas. Na prática, a exigência de cumprir com a norma enfrenta o dilema das relações hierárquicas dentro de uma empresa. Como o encarregado se torna a pessoa chave a realizar funções de extrema confiança, a nomeação de um funcionário para ocupar essa vaga pode gerar embates e conflitos de interesse. É imprescindível que se entenda que, concedendo essa função a um funcionário, a partir da interpretação da CBO, esse profissional terá atribuições equivalentes a de gestor de alto grau no organograma corporativo.

Logo, como previsto na LGPD, é permitida a contratação de DPO externo, sendo a função cumprida por pessoa de fora da estrutura corporativa da organização. Desta forma, é possível realizar a contratação como um serviço executado pela empresa de segurança da informação, que deve estar devidamente familiarizada com os requisitos da Lei e possuir em seu corpo técnico profissionais certificados na ISO27001 e outras normas e padrões de mercado que definem padrões de boas práticas de gestão da segurança e estejam aptos a desempenhar as funções do DPO. Além disso, terceirizar o DPO tem como prerrogativa o distanciamento hierárquico dos demais cargos e das relações de trabalho estabelecidas.

Rolar para cima