Recentemente, com as sanções da Lei Geral de Proteção de Dados Pessoais (LGPD) entrando em vigor, os impactos das diretrizes regulamentadas ainda representam necessidade de adequações no ambiente profissional. A criação de um cargo específico para cumprimento da legislação colocou agentes de tratamentos de dados frente à urgência de definir responsabilidades.
A LGPD, por si só, já dimensionou a preocupação que empresas e organizações tinham – ou deveriam ter – com os dados pessoais que tratam. Conforme a aplicação da lei vem ocorrendo, o compromisso com atribuir poderes se tornou uma questão. Foi levando em conta esta realidade que a Classificação Brasileira de Ocupações, mantida pelo Ministério do Trabalho, criou o cargo de DPO (Data Protection Officer).
Em tradução, o nome define o encarregado de proteção de dados, criado pela LGPD e exigido para empresas de médio e grande porte, sendo facultativo para as de pequeno porte. O problema aqui é que o escopo de atividades envolvido no cargo é bem mais amplo do que aquele exigido na letra da lei. Ou seja, o encarregado necessita conhecimentos e base legal que não haviam sido considerados em sua totalidade quando foi criada a legislação sobre o tema.
São atribuições do DPO atender os titulares de dados, receber comunicações da ANPD (Autoridade Nacional de Proteção de Dados Pessoais), orientar os funcionários e contratados da organização, levar ao conhecimento dos mais altos escalões hierárquicos do agente de tratamento todas as conclusões e instruções sobre os riscos envolvidos em caso de inadequação com a LGPD, executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Na rotina da empresa, promover um funcionário a DPO equivale a delegar um cargo de gerência, pois ao administrar riscos e gerenciar questões administrativas e financeiras de suma importância para a organização se eleva muito o grau de confiança exigido.
A ampliação deste leque de responsabilidades sobre o DPO deve ser motivo de precaução, pois a mesma classificação que criou o cargo é utilizada para o cadastro dos funcionários e como referência em ações trabalhistas. Na prática, a exigência de cumprir com a norma enfrenta o dilema das relações hierárquicas dentro de uma empresa. Como o encarregado se torna a pessoa chave a realizar funções de extrema confiança, a nomeação de um funcionário para ocupar essa vaga pode gerar embates e conflitos de interesse. É imprescindível que se entenda que, concedendo essa função a um funcionário, a partir da interpretação da CBO, esse profissional terá atribuições equivalentes a de gestor de alto grau no organograma corporativo.
Logo, como previsto na LGPD, é permitida a contratação de DPO externo, sendo a função cumprida por pessoa de fora da estrutura corporativa da organização. Desta forma, é possível realizar a contratação como um serviço executado pela empresa de segurança da informação, que deve estar devidamente familiarizada com os requisitos da Lei e possuir em seu corpo técnico profissionais certificados na ISO27001 e outras normas e padrões de mercado que definem padrões de boas práticas de gestão da segurança e estejam aptos a desempenhar as funções do DPO. Além disso, terceirizar o DPO tem como prerrogativa o distanciamento hierárquico dos demais cargos e das relações de trabalho estabelecidas.