#bomdialgpd
Sexta passada divulgamos uma pesquisa para saber em que área está o DPO e hoje apresentamos o resultado. A LGPD obriga o controlador a nomear um DPO e para atender a conformidade com a lei, é necessário posicionar o encarregado dentro da estrutura organizacional:
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
Nossa pesquisa perguntou qual a área está o DPO e chegamos à seguinte resposta:
Cada organização toma a sua decisão conforme seu modelo de gestão, mas tenho visto recentemente o DPO mudar de área em algumas empresas.
Um ponto de discussão em um primeiro momento é a independência do DPO, porém esta independência deve vir após a implementação mínima da conformidade, assim o trabalho do DPO neste momento ainda de divide entre o trabalho operacional e executivo e a independência, entendo que a maior parte dos DPOs não conseguem ainda não conseguem ter uma atuação segregada.
A resposta à pesquisa mostra que quase 40% dos DPOs estão na chamada "segunda linha" pela definição do The IIA - The Institute of Internal Auditors (veja link para artigo no comentário). Estar na área de risco / compliance / controles internos traz certa independência, metodologia e um posicionamento de controles. No mês passado o IBGC - Instituto Brasileiro de Governança Corporativa divulgou a 6a edição do "Código das Melhores Práticas de Governança Corporativa" que traz a segunda linha para a estrutura de governança corporativa, isso aumenta a segregação e independência e fortalece o controle.
23% dos DPOs estão junto às áreas de TI e segurança, o que traz a vantagem de viabilizar uma série de atividades operacionais essenciais para a conformidade com a LGPD, pode ser uma boa opção, principalmente se existir um comitê multidisciplinar bem organizado, por outro esta opção muitas vezes são classificadas como conflito de interesse.
A área jurídica foi citada por 29%, semelhante à área de TI, o DPO no jurídico ganha força operacional na estruturação da base jurídica e pode ser uma boa opção com a parceria de um comitê multidisciplinar.
No caso dos 9% de outros há casos de estruturação do DPO associado à presidência, diretorias administrativas e outras.
Em termos gerais cada organização deve estruturar o DPO conforme seus objetivos de negócios.
O "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado versão 2.0" traz boas dicas para apoiar a decisão da melhor posição do DPO, por exemplo:
"Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições."
"No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação..."
"...considerando as boas práticas, é importante que o encarregado tenha recursos adequados para realizar suas atividades, o que pode incluir recursos humanos. Outros recursos que devem ser considerados são tempo (prazos apropriados), finanças e infraestrutura."
Estamos presenciando uma série de mudanças na forma que as empresas entram em conformidade com a LGPD, o aumento da maturidade, as publicações da ANPD e a evolução tecnológica e regulatória fazem com que a situação hoje seja bem diferente de há um ano atrás, por isso é importante refletir sobre a forma que a estrutura de atendimento à LGPD está estruturada. Tenho visto que uma competência importante para o DPO é a capacidade de liderar uma equipe multidisciplinar, o que não é fácil e não é ensinado na academia.
Boa semana,
Obrigado,
Abraço,
FNery
Descrição da imagem no Dall-e: "Create a digital hyperrealistic depiction of a leader presenting a project to participants in a modern meeting room equipped with cutting-edge technology, enhanced with 3D rendering for depth and a futuristic touch."
Comentários: Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado ANPD: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf
Governança em Privacidade e o Modelo das Três Linhas do IIA: https://www.linkedin.com/pulse/governan%C3%A7a-em-privacidade-e-o-modelo-das-tr%C3%AAs-linhas-do-fernando-nery/
O impacto do novo Código do IBGC nas equipes de LGPD: https://www.linkedin.com/pulse/o-impacto-do-novo-c%C3%B3digo-ibgc-nas-equipes-de-lgpd-fernando-nery/
